KVVK Aydınlatma Metni

KİŞİSEL VERİ İŞLEME, SAKLAMA VE İMHA POLİTİKASI

AMAÇ VE KAPSAM

İşbu Kişisel Veri Saklama ve İmha Politikası (“Politika”), kişisel verilerin saklama ve imha işlemlerindeki usul ve esasların belirlenmesi amacıyla “Veri Sorumlusu” sıfatıyla sıfatıyla S.S. 15. Bölge Esnaf ve Sanatkarlar Kredi ve Kefalet Kooperatifleri Birliği tarafından, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun ya da KVKK”) ile Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (“Yönetmelik”) ile ikincil mevzuat doğrultusunda hazırlanmıştır.

Veri Sorumlusu bünyesinde işlenen kişisel verilerin, KVKK ve sair mevzuata uygun şekilde silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin uygulanacak usul ve esasların belirlenmesi amacıyla hazırlanmıştır. İşbu Politika, Yönetmelik’in “Kişisel veri saklama ve imha politikasının kapsamı” başlıklı 6’ncı maddesinde belirtilen asgari unsurları referans alınarak hazırlanmıştır.

Veri Sorumlusu sıfatını haiz S.S. 15. Bölge Esnaf ve Sanatkarlar Kredi ve Kefalet Kooperatifleri Birliği, yürüttüğü faaliyetler sırasında işlemiş olduğu kişisel verileri, işbu Politika’da belirlenen usul ve esaslara uygun şekilde işleyeceğini, muhafaza ve imha edeceğini taahhüt etmektedir.

TANIMLAR

İşbu Politika’da bahsedilecek terimler, KVKK ve ilgili Yönetmelik çerçevesinde yapılan tanımlamalara sadık kalarak aşağıdaki tabloda açıklanmıştır.

İlgili Kişi : Kişisel verisi işlenen gerçek kişiyi,
Veri Sorumlusu : Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan S. 15. Bölge Esnaf ve Sanatkarlar Kredi ve Kefalet Kooperatifleri Birliği’ni,
Kişisel Veri : Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,
Kişisel Verilerin İşlenmesi : Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,
Özel Nitelikli Kişisel Veri : Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veriyi,
Açık Rıza : Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,
Kişisel Veri İşleme Envanteri : Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri,
Kurum : Kişisel Verileri Koruma Kurumu’nu,
KVKK : 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nu,
Veri İşleyen : Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi,
Veri Kayıt Sistemi : Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini,
Personel : Veri Sorumlusu personelini,
Tedarikçi : Veri Sorumlusu ile belirli bir sözleşme çerçevesinde hizmet sağlayan gerçek veya tüzel kişiyi,
Kayıt Ortamı : Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı,
Anonim Hale Getirme : Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirmeyi,
İmha : Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirmeyi,
Kişisel Verilerin Silinmesi : Verinin hiçbir şekilde kullanılamaz hale getirmeyi,
Kişisel Verilerin Yok Edilmesi : Verinin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirmeyi,

İfade eder.

GENEL BİLGİLENDİRME VE TEMEL İLKELER
Kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde; kişisel veriler Veri Sorumlusu tarafından re’sen veya ilgili kişinin talebi doğrultusunda silinmekte, yok edilmekte veya anonim hale getirilmektedir.
Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesinde KVKK’nun 4’üncü maddesindeki genel ilkeler ile 12’nci maddesi kapsamında alınması gereken teknik ve idari tedbirlere, ilgili mevzuat hükümlerine, Kurul kararlarına ve kişisel veri saklama ve imha politikasına uygun hareket edilmektedir.

Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere Veri Sorumlusu tarafından en az üç yıl süreyle saklanmaktadır.

Veri Sorumlusu, kişisel verilerin silinmesi, yok edilmesi, anonim hale getirilmesi işlemiyle ilgili uyguladığı yöntemleri ilgili politika ve prosedürlerinde açıklama yükümlülüğüne sadık kalacaktır.
Veri sorumlusu, Kurul tarafından aksine bir karar alınmadıkça, kişisel verileri resen silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanını seçmektedir. İlgili kişinin talebi halinde; uygun yöntemi gerekçesini açıklayarak seçmektedir.
İlgili kişinin kişisel verileri hakkında bilgi almak ve/veya talepte bulunmak amacıyla Veri Sorumlusu’na başvurması halinde en kısa sürede ve en geç 30 (otuz) gün içerisinde talep konusu hakkında; talepte bulunan ilgili kişiye bilgi verilmektedir.

Veri Sorumlusu güncel düzenlemeleri takip ederek tüm ilgili kişiler için kişisel verilerinin hukuka aykırı olarak işlenmesinin önlenmesi, faaliyetlerin hukuka ve kanuna uygun olarak yürütülmesi konularında sorumlu bir şekilde çalışmaktadır.

SAKLAMA VE İMHAYA İLİŞKİN AÇIKLAMALAR
- KİŞİSEL VERİLERİN SAKLANMASINI GEREKTİREN HUKUKİ SEBEPLER

Kişisel verilerin işlenmesi, KVKK’nun 3’üncü maddesinde tanımlanmıştır. İşbu Politika’nın “Tanımlar” başlıklı maddesinde de belirtildiği üzere; kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem, kişisel verilerin işlenmesi olarak kabul edilmiştir.

Kişisel verilerin işlenme şartları ise KVKK’nun 5’inci maddesinde yer almaktadır. Kural olarak; kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemeyecektir. Ancak kanun koyucu bu kuralın istisnası olarak; ilgili maddede gerçek kişinin açık rızası olmaksızın kişisel veri işlenebilmesinin belirli şartlarını öngörmüştür. Buna göre kişisel verilerin ilgili kişiden açık rıza alınmaksızın işlenebilmesinin şartları aşağıda belirtildiği gibidir;

Kanunlarda açıkça öngörülmesi,
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
İlgili kişinin kendisi tarafından alenileştirilmiş olması,
Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olmasıdır.

Bu bakımdan Veri Sorumlusu tarafından, ilgili kişinin açık rızası alınmadan önce yukarıda sayılmış açık rıza istisna halleri olarak değerlendirilen işlenme şartlarının mevcudiyeti aranır. Yukarıda sayılmış işleme şartlarının mevcudiyeti KVKK’na hakim diğer ilkeler nazarında da varlığı kabul edilirse; ilgili kişi konu ile ilgili detaylıca aydınlatılarak veri işleme faaliyeti gerçekleşecektir.

Veri Sorumlusu vasıtasıyla yürüttüğü faaliyetler sırasında işlediği kişisel verilerin dayanağı olan hukuki sebeplere daire başkanlığı, birim, faaliyet bakımından ayrıntılı şekilde Kişisel Veri İşleme Envanteri’nde yer verilmiştir.

İşlenen kişisel veriler;

6698 sayılı Kişisel Verilerin Korunması Kanunu ve ikincil mevzuat,
1163 sayılı Kooperatifler Kanunu,
4721 sayılı Türk Medeni Kanunu,
6098 sayılı Türk Borçlar Kanunu,
4857 sayılı İş Kanunu,
5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,
6331 sayılı İş Sağlığı ve Güvenliği Kanunu,

Uyarınca yürürlükte olan ve ancak bunlarla da sınırlı olmamak üzere mevcut düzenlemeler ve diğer ikincil düzenlemeler çerçevesinde öngörülen hukuki sebeplerle ve saklama süreleri ile saklanmaktadır.

4.1.2. KİŞİSEL VERİLERİN SAKLANMASINI GEREKTİREN İŞLEME AMAÇLARI

Veri konusu kişi grubu, veri kategorileri, kişisel veri işleme amaç ve hukuki sebepleri, alıcı grupları ile ilgili kişi haklarının yer aldığı ilgili kişi aydınlatma metinlerine dair ayrıntılı bilgiye erişebilmek amacıyla Veri Sorumlusu vasıtasıyla erişim sağlanabilmektedir.

Veri Sorumlusu, faaliyetleri esnasında işlediği kişisel verileri aşağıdaki amaçlar doğrultusunda işlediği kişisel veriler hakkında veri kategorisi ve işleme amaçları hakkında ayrıntılı bilgi vermiştir.

Kimlik Verileri

Alt Kooperatiflerin İş Ve İşlemlerinin Takibi,
Acil Durum Yönetimi Süreçlerinin Yürütülmesi,
Bilgi Güvenliği Süreçlerinin Yürütülmesi,
Faaliyetlerin Mevzuata Uygun Yürütülmesi,
Finans ve Muhasebe İşlerinin Yürütülmesi,
Görevlendirme Süreçlerinin Yürütülmesi,
Hukuk İşlerinin Takibi ve Yürütülmesi,
İletişim Faaliyetlerinin Yürütülmesi,
İnsan Kaynakları Süreçlerinin Planlanması,
İş Faaliyetlerinin Yürütülmesi ve Denetimi,
İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi,
Mal / Hizmet Alım Süreçlerinin Yürütülmesi,
Ortaklık İlişkileri Yönetimi Süreçlerinin Yürütülmesi,
Performans Değerlendirme Süreçlerinin Yürütülmesi,
Personel Adaylarının Başvuru Süreçlerinin Yürütülmesi,
Personel Memnuniyeti ve Bağlılığı Süreçlerinin Yürütülmesi,
Personeller İçin İş Akdi ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi,
Personeller İçin Yan Haklar ve Menfaatleri Süreçlerinin Yürütülmesi,
Risk Yönetimi Süreçlerinin Yürütülmesi,
Saklama ve Arşiv Faaliyetlerinin Yürütülmesi,
Sözleşme Süreçlerinin Yürütülmesi,
Talep ve Şikayetlerin Takibi,
Ücret Politikasının Yürütülmesi,
Veri Sorumlusu Operasyonlarının Güvenliğinin Temini,
Yetkili Kişi Kurum ve Kuruluşlara Bilgi Verilmesi,
Yönetim Faaliyetlerinin Yürütülmesi,
Alt Kooperatiflerin İş Ve İşlemlerinin Takibi,

Kimlik verileri kategorisinde belirlenen işleme amaçlarıdır.

İletişim Verileri

Alt Kooperatiflerin İş Ve İşlemlerinin Takibi,
Acil Durum Yönetimi Süreçlerinin Yürütülmesi,
Bilgi Güvenliği Süreçlerinin Yürütülmesi,
Denetim / Etik Faaliyetlerinin Yürütülmesi,
Erişim Yetkilerinin Yürütülmesi,
Faaliyetlerin Mevzuata Uygun Yürütülmesi,
Finans ve Muhasebe İşlerinin Yürütülmesi,
Görevlendirme Süreçlerinin Yürütülmesi,
Hukuk İşlerinin Takibi ve Yürütülmesi,
İletişim Faaliyetlerinin Yürütülmesi,
İş Faaliyetlerinin Yürütülmesi / Denetimi,
İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi,
Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi,
Personel Adaylarının Başvuru Süreçlerinin Yürütülmesi,
Personel Memnuniyeti ve Bağlılığı Süreçlerinin Yürütülmesi,
Personeller İçin İş Akdi ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi,
Personeller İçin Yan Haklar ve Menfaatleri Süreçlerinin Yürütülmesi,
Risk Yönetimi Süreçlerinin Yürütülmesi,
Saklama ve Arşiv Faaliyetlerinin Yürütülmesi,
Sözleşme Süreçlerinin Yürütülmesi,
Stratejik Planlama Faaliyetlerinin Yürütülmesi,
Talep / Şikayetlerin Takibi,
Veri Sorumlusu Operasyonlarının Güvenliğinin Temini,
Yetkili Kişi, Kurum ve Kuruluşlara Bilgi Verilmesi,
Yönetim Faaliyetlerinin Yürütülmesi,

İletişim verileri kategorisinde belirlenen işleme amaçlarıdır.

Özlük Verileri

Acil Durum Yönetimi Süreçlerinin Yürütülmesi,
Bilgi Güvenliği Süreçlerinin Yürütülmesi,
Denetim / Etik Faaliyetlerinin Yürütülmesi,
Faaliyetlerin Mevzuata Uygun Yürütülmesi,
Finans ve Muhasebe İşlerinin Yürütülmesi,
Görevlendirme Süreçlerinin Yürütülmesi,
Hukuk İşlerinin Takibi ve Yürütülmesi,
İletişim Faaliyetlerinin Yürütülmesi,
İnsan Kaynakları Süreçlerinin Planlanması,
İş Sözleşmesinden Kaynaklı Yükümlülüklerin Yerine Getirilmesi,
İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi,
Kredi ve Kefalet Süreçlerinin Yürütülmesi,
Personel Adaylarının Başvuru Süreçlerinin Yürütülmesi,
Personel Memnuniyeti ve Bağlılığı Süreçlerinin Yürütülmesi,
Personeller İçin İş Akdi ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi,
Personeller İçin Yan Haklar ve Menfaatleri Süreçlerinin Yürütülmesi,
Saklama ve Arşiv Faaliyetlerinin Yürütülmesi,
Sözleşme Süreçlerinin Yürütülmesi,
Ücret Politikasının Yürütülmesi,
Veri Sorumlusu Operasyonlarının Güvenliğinin Temini,
Yetkili Kişi, Kurum ve Kuruluşlara Bilgi Verilmesi,
Yönetim Faaliyetlerinin Yürütülmesi,

Özlük verileri kategorisinde belirlenen işleme amaçlarıdır.

Hukuki İşlem Verileri

Alt Kooperatiflerin İş Ve İşlemlerinin Takibi,
Denetim / Etik Faaliyetlerinin Yürütülmesi,
Faaliyetlerinin Yürütülmesi ve Denetimi,
Görevlendirme Süreçlerinin Yürütülmesi,
Hukuk İşlerinin Takibi ve Yürütülmesi,
İç Denetim/ Soruşturma / İstihbarat Faaliyetlerinin Yürütülmesi,
İç Yazışma ve Evrak Takibi İşlemlerinin Yürütülmesi,
İletişim Faaliyetlerinin Yürütülmesi,
İnsan Kaynakları Süreçlerinin Planlanması,
İş Faaliyetlerinin Yürütülmesi / Denetimi,
Kredi ve Kefalet Süreçlerinin Yürütülmesi,
Mal ve Hizmet Alım Süreçlerinin Yürütülmesi,
Personeller İçin İş Akdi ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi,
Personeller İçin Yan Haklar ve Menfaatleri Süreçlerinin Yürütülmesi,
Risk Yönetimi Süreçlerinin Yürütülmesi,
Saklama ve Arşiv Faaliyetlerinin Yürütülmesi,
Sözleşme Süreçlerinin Yürütülmesi,
Talep ve Şikayetlerin Takibi,
Vekil, Yetki ve Temsil İşlemlerinin Yürütülmesi,
Veri Sorumlusu Operasyonlarının Güvenliğinin Temini,
Yetkili Kişi, Kurum ve Kuruluşlara Bilgi Verilmesi,
Yönetim Faaliyetlerinin Sürdürülmesi,

Hukuki işlem verileri kategorisinde belirlenen işleme amaçlarıdır.

Müşteri İşlem Verileri

Alt Kooperatiflerin İş Ve İşlemlerinin Takibi,
Erişim Yetkilerinin Yürütülmesi,
Faaliyetlerin Mevzuata Uygun Yürütülmesi,
Finans ve Muhasebe İşlerinin Yürütülmesi,
İş Faaliyetlerinin Yürütülmesi ve Denetimi,
İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi,
Kredi ve Kefalet Süreçlerinin Yürütülmesi,
Saklama ve Arşiv Faaliyetlerinin Yürütülmesi,
Sözleşme Süreçlerinin Yürütülmesi,
Yetkili Kişi, Kurum ve Kuruluşlara Bilgi Verilmesi,

Hukuki işlem verileri kategorisinde belirlenen işleme amaçlarıdır.

Fiziksel Mekan Güvenliği Verileri

Bilgi Güvenliği Süreçlerinin Yürütülmesi,
Fiziksel Mekan Güvenliğinin Temini,
İletişim Faaliyetlerinin Yürütülmesi,
Organizasyon ve Etkinlik Yönetimi,
Risk Yönetimi Süreçlerinin Yürütülmesi,
Saklama ve Arşiv Faaliyetlerinin Yürütülmesi,
Veri Sorumlusu Operasyonlarının Güvenliğinin Temini,
Yönetim Faaliyetlerinin Yürütülmesi,

Fiziksel mekan güvenliği verileri kategorisinde belirlenen işleme amaçlarıdır.

Finansal Veriler

Faaliyetlerin Mevzuata Uygun Yürütülmesi,
Finans ve Muhasebe İşlerinin Yürütülmesi,
Görevlendirme Süreçlerinin Yürütülmesi
Hukuk İşlerinin Takibi ve Yürütülmesi,
İletişim Faaliyetlerinin Yürütülmesi,
İnsan Kaynakları Süreçlerinin Planlanması,
İş Faaliyetlerinin Yürütülmesi ve Denetimi,
İş Sözleşmesinden Kaynaklı Yükümlülüklerin Yerine Getirilmesi,
İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi,
Kredi ve Kefalet Süreçlerinin Yürütülmesi,
Mal ve Hizmet Alım Süreçlerinin Yürütülmesi,
Personel Yan Hak ve Menfaatlerinin Korunması,
Personeller İçin İş Akdi ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi,
Personeller İçin Yan Haklar ve Menfaatleri Süreçlerinin Yürütülmesi,
Risk Yönetimi Süreçlerinin Yürütülmesi,
Saklama ve Arşiv Faaliyetlerinin Yürütülmesi,
Sözleşme Süreçlerinin Yürütülmesi,
Veri Sorumlusu Operasyonlarının Güvenliğinin Temini,
Yetkili Kişi, Kurum ve Kuruluşlara Bilgi Verilmesi,
Yönetim Faaliyetlerinin Yürütülmesi,

Finansal veriler kategorisinde belirlenen işleme amaçlarıdır.

Mesleki Deneyim Verileri

Acil Durum Yönetimi Süreçlerinin Yürütülmesi,
Bilgi Güvenliği Süreçlerinin Yürütülmesi,
Faaliyetlerin Mevzuata Uygun Yürütülmesi,
Finans ve Muhasebe İşlerinin Yürütülmesi,
Görevlendirme Süreçlerinin Yürütülmesi,
Hukuk İşlerinin Takibi ve Yürütülmesi,
İç Yazışma ve Evrak Takibi İşlemlerinin Yürütülmesi,
İletişim Faaliyetlerinin Yürütülmesi,
İnsan Kaynakları Süreçlerinin Planlanması,
İş Faaliyetlerin Yürütülmesi / Denetimi,
İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi,
Kredi ve Kefalet Süreçlerinin Yürütülmesi,
Mal ve Hizmet Alım Süreçlerinin Yürütülmesi,
Personel Adaylarının Başvuru Süreçlerinin Yürütülmesi,
Personel Yan Hak ve Menfaatlerinin Korunması,
Personeller İçin İş Akdi ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi,
Personeller İçin Yan Haklar ve Menfaatleri Süreçlerinin Yürütülmesi,
Saklama ve Arşiv Faaliyetlerinin Yürütülmesi,
Sözleşme Süreçlerinin Yürütülmesi,
Stratejik Planlama Faaliyetlerinin Yürütülmesi,
Veri Sorumlusu Operasyonlarının Güvenliğinin Temini,
Yetkili Kişi Kurum ve Kuruluşlara Bilgi Verilmesi,
Yönetim Faaliyetlerinin Yürütülmesi,

Mesleki deneyim verileri kategorisinde belirlenen işleme amaçlarıdır.

Görsel ve İşitsel Kayıtlar

Acil Durum Yönetimi Süreçlerinin Yürütülmesi,
Bilgi Güvenliği Süreçlerinin Yürütülmesi,
Faaliyetlerin Mevzuata Uygun Yürütülmesi,
Fiziksel Mekan Güvenliğinin Takibi,
İç Yazışma ve Evrak Takibi İşlemlerinin Yürütülmesi,
İnsan Kaynakları Süreçlerinin Planlanması,
İş Sağlığı / Güvenliği Faaliyetlerini Yürütülmesi,
Personel Yan Hak ve Menfaatlerinin Korunması,
Personeller İçin İş Akdi ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi,
Personeller İçin Yan Haklar ve Menfaatleri Süreçlerinin Yürütülmesi,
Saklama ve Arşiv Faaliyetlerinin Yürütülmesi,
Sözleşme Süreçlerinin Yürütülmesi,
Veri Sorumlusu Operasyonlarının Güvenliğinin Temini,
Yetkili Kişi Kurum ve Kuruluşlara Bilgi Verilmesi,
Yönetimi faaliyetlerinin Yürütülmesi,
Kredi Genel Sözleşmeleri Süreçlerinin Yürütülmesi,
Ortaklık/Kredi Dosyasının Oluşturulması Süreçlerinin Yürütülmesi,
Hukuk İşlerinin Takibi Ve Yürütülmesi,
Veri Sorumlusu Operasyonlarının Güvenliğinin Takibi,
Yürütülen Süreçlerin Şeffaflığına Dair Gerekli Önlemlerin Alınmış Olması
Sözleşme Süreçlerinin Yürütülmesi,

Görsel ve işitsel kayıtlar kategorisinde belirlenen işleme amaçlarıdır.

Ceza Mahkumiyeti ve Güvenlik Tedbirleriyle İlgili Veriler

Faaliyetlerin Mevzuata Uygun Yürütülmesi,
Hukuk İşlerinin Takibi Ve Yürütülmesi,
Performans Değerlendirme Süreçlerinin Yürütülmesi,
Personel Adaylarının Başvuru Süreçlerinin Yürütülmesi,
Sözleşme Süreçlerinin Yürütülmesi,
Veri Sorumlusu Güvenlik Operasyonlarının Yürütülmesi,
Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi,

Ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler kategorisinde belirlenen işleme amaçlarıdır.

Sağlık Bilgileri Verileri

Bordrolama ve işçi yan haklarının sağlanması faaliyetlerini yürütebilmek adına; 6331 sayılı İş Sağlığı ve Güvenliği Kanunu’nun “İşverenin genel yükümlülüğü” başlıklı 4’üncü maddesi ile “Sağlık gözetimi” başlıklı 15’inci maddesi ile bu madde doğrultusunda “İdari para cezaları ve uygulanması” başlıklı 26’nci maddesinin birinci fıkrasının (f) bendinde belirtilen hukuki yükümlülüğün yerine getirilmesi,
Personel işe yeterlilik ve özlük haklarının tespitinin sağlanması amacıyla; 4857 sayılı İş Kanunu’nun “Geçici iş ilişkisi” başlıklı 7’nci maddede belirtilen hukuki yükümlülüğün yerine getirilmesi,
İşçi yan haklarının sağlanması faaliyetlerini yürütebilmek adına; 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu’nun “İş kazasının tanımı, bildirilmesi ve soruşturulması” başlıklı 13’üncü maddesinde belirtilen hukuki yükümlülüğün yerine getirilmesi,
Personel işe yeterlilik ve özlük haklarının tespitinin sağlanması amacıyla; 6331 sayılı İş Sağlığı ve Güvenliği Kanunu’nun “sağlık gözetimi” başlıklı 15’inci maddesinde belirtilen hukuki yükümlülüğün yerine getirilmesi,
Personel işe yeterlilik ve özlük haklarının tespitinin sağlanması amacıyla; 4857 sayılı İş Kanunu’nun “Çağrı üzerine çalışma ve uzaktan çalışma” başlıklı 14’üncü maddesinin altıncı fıkrasında belirtilen hukuki yükümlülüğün yerine getirilmesi,
Personel özlük haklarının tespitinin sağlanması amacıyla; 4857 sayılı İş Kanunu’nun “İşçinin haklı nedenle fesih hakkı” başlıklı 24’üncü maddesinin birinci fıkrasında belirtilen hukuki yükümlülüğün yerine getirilmesi,
Personel özlük haklarının tespitinin sağlanması amacıyla; 4857 sayılı İş Kanunu’nun “İşverenin haklı nedenle fesih hakkı” başlıklı 25’inci maddesinin birinci fıkrasında belirtilen hukuki yükümlülüğün yerine getirilmesi,
Personel yan hak ve özlük haklarının tespitinin sağlanması amacıyla; 4857 sayılı İş Kanunu’nun “Fazla çalışma ücreti” başlıklı 41’inci maddesinde belirtilen hukuki yükümlülüğün yerine getirilmesi,
Personel yan hak ve özlük haklarının tespitinin sağlanması amacıyla; 4857 sayılı İş Kanunu’nun “Analık halinde çalışma ve süt izni” başlıklı 74’üncü maddesinin birinci ve ikinci fıkrasında belirtilen hukuki yükümlülüğün yerine getirilmesi,
Acil Durum Yönetimi Süreçlerinin Yürütülmesi,
Faaliyetlerin Mevzuata Uygun Yürütülmesi,
Hukuk İşlerinin Takibi ve Yürütülmesi,
İnsan Kaynakları Süreçlerinin Planlanması,
İş Faaliyetlerinin Yürütülmesi ve Denetimi,
İzin Faaliyetlerinin Yürütülmesi,
Personel Adaylarının Başvuru Süreçlerinin Yürütülmesi,
Personel Görevlendirme Süreçlerinin Yürütülmesi,
Personeller İçin İş Akdi ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi,
Personeller İçin Yan Haklar ve Menfaatleri Süreçlerinin Yürütülmesi,
Saklama ve Arşiv Faaliyetlerinin Yürütülmesi,
Sözleşme Süreçlerinin Yürütülmesi,
Yetkili Kişi Kurum ve Kuruluşlara Bilgi Verilmesi,

Sağlık verileri kategorisinde belirlenen işleme amaçlarıdır.

KİŞİSEL VERİLERİN İMHASINI GEREKTİREN SEBEPLER

İlgili kişinin talebi ile veya Veri Sorumlusu tarafından re’sen aşağıdaki sebeplerin varlığının son bulması halinde söz konusu veriler silinir, yok edilir veya anonim hale getirilir. Buna göre kişisel veriler;

İlgili kişinin, KVKK’nun 11’inci maddesindeki haklarını kullanmak suretiyle verilerinin silinmesini, yok edilmesini veya anonim hale getirilmesine ilişkin talebinin Veri Sorumlusu tarafından kabulü,
Veri Sorumlusu’nun, ilgili kişinin KVKK’nun 11’inci maddesindeki haklarını kullanarak başvurmasına karşın cevap vermemesi, başvuruyu reddetmesi ya da cevabın yetersiz olması sebepleriyle ilgili kişinin Kurul’ a şikayette bulunması ve Kurul tarafından uygun bulunması,
İlgili kişinin açık rızası ile işlenmiş kişisel verisi hakkındaki açık rızasını geri alması,
Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olmasına karşın, saklamayı haklı kılacak bir şartın mevcut olmaması,
Kişisel verilerin işlenmesine veya saklanmasını öngören ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,

Hallerinden birinin gerçekleşmesi ile işlenmeyi veya saklanmayı gerektiren amacın ortadan kalkması şeklinde yorumlanarak; silini, yok edilir veya anonim hale getirilir.

VERİ SORUMLUSUNUN UYGULADIĞI TEKNİK VE İDARİ TEDBİRLER

Kişisel verilerin güvenli bir şekilde saklanması ve hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi amacıyla; KVKK’nun “Veri güvenliğine ilişkin hükümler” başlıklı 12’nci maddesi ile KVKK’nun “Özel nitelikli kişisel verilerin işlenme şartları” başlıklı 6’ncı maddesinin dördüncü fıkrasında yer alan “Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.” hüküm gereğince; veri sorumlusu sıfatı taşıyan Veri Sorumlusu’nun işlediği kişisel verilerin hukuka uygun olarak alınmış olduğu idari ve teknik tedbirler aşağıdaki gibidir.

Alt birlikler tarafından; TOKBYS, KOOPBİS, Kimlik Paylaşım Sistemi ve sair kurum içi uygulamaları üzerinden Veri Sorumlusu kurumumuz yalnızca “sınırlı ve yetkili erişim” ile alt birliklerin bünyesinde kaydedilen kişisel verilere erişim sağlamaktadır. İlgili verilerin işlenmesi sırasında İlgili Kişiler 6698 sayılı Kanun kapsamında yapılan aydınlatmada tarafımıza aktarım gerçekleştirildiği belirtilmiştir.

TEKNİK TEDBİRLER
Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.
Personeller için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
Personeller için yetki matrisi oluşturulmuştur. (KOOPBİS, TOKBYS, Kurum İçi Kullanılan Programlar.)
Kurum içi kullanılan programlarda Statik IP uygulaması kullanılmaktadır.
Kurum içi kullanılan programlarda yetkili personel giriş yaparken SMS kodu ile giriş yapabilmektedir.
Kurum içi kullanılan programlarda hareketsiz oturumlar belli bir dakikadan sonra yeniden giriş yapılması aşamasına yönlendirmektedir.
Gizlilik taahhütnameleri yapılmaktadır.
Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
Güncel anti-virüs sistemleri kullanılmaktadır.
Güvenlik duvarları kullanılmaktadır.
Kağıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir.
Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
Kişisel veri güvenliğinin takibi yapılmaktadır.
Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
Kişisel veriler mümkün olduğunca azaltılmaktadır.
Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
Mevcut risk ve tehditler belirlenmiştir.
Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.

İDARİ TEDBİRLER

Veri Sorumlusu tarafından işlenen kişisel verilerle ilgili olarak alınan idari tedbirler aşağıda sayılmıştır;

Veri Sorumlusu personelinin yürüttüğü iş ve işlemler sırasında kişisel verilerin hukuka aykırı olarak işlenmenin önlenmesi, kişisel verilerin hukuka aykırı olarak erişilmesinin önlenmesi, kişisel verilerin muhafazasının sağlanması, iletişim teknikleri, teknik bilgi beceri kazanmaları adına personelin tabi olduğu mevzuat ile ilgili diğer mevzuat hakkında eğitimler verilmektedir.
Veri Sorumlusu tarafından yürütülen faaliyetlere ilişkin personellere gizlilik sözleşmeleri imzalatılmaktadır.
Benimsenen “veri minimizasyonu” ilkesi kapsamında işlenen kişisel veriler yalnızca yetkili ve ilgili personelin erişimine açıktır.
Kişisel veri içeren belge ve kayıtlar KVKK’da belirtilen usullere uygun şekilde muhafaza edilmektedir.
Güvenlik politika ve prosedürlerine uymayan personellere yönelik uygulanacak disiplin prosedürü hazırlanmıştır.
Kişisel veri işlemeye başlamadan önce Kurum tarafından, ilgili kişileri aydınlatma yükümlülüğü yerine getirilmektedir.
Kişisel veri işleme envanteri hazırlanmıştır.
Kurum içi periyodik ve rastgele denetimler yapılmaktadır.
İlgili Kişi Başvuru Formu üzerinden Veri Sorumlusu’na yönlendirilen talep ve şikayetlerin kontrolü düzenli şekilde gerçekleştirilip; ilgili kişiye talebini yönelttiği tarihten başlayarak en geç 30 (otuz) gün içerisinde gerekçeli dönüş yapılmaktadır.
Veri Sorumlusu herhangi bir veri ihlaliyle karşılaşması halinde durumun tespitinin ardından; veri güvenliği sorunları raporlanarak söz konusu ihlal durumu Kişisel Verileri Koruma Kurumu’nun resmi internet sitesinde yer alan Veri İhlal Formu’ nu usulüne uygun şekilde doldurmaya özen gösterecektir.
Personelin kullanımına bırakılmış tüm cihaz, portal, uygulama ve yazılımlarda personele özgü atanmış kullanıcı adı ve parola bulunmaktadır.
Personelin kullanımına bırakılmış tüm cihaz, portal, uygulama ve yazılımlarda personelin görev ve pozisyonuna uygun olarak tanımlanmış kısıtlı erişim uygulanmaktadır.
Görev değişikliği veyahut personelin Veri Sorumlusu ile ilişiğinin kesilmesi halinde; kendisine tanımlanan erişim yetkisi derhal düzenlenmektedir.
ÖZEL NİTELİKLİ KİŞİSEL VERİLER HUSUSUNDA UYGULANAN İDARİ VE TEKNİK TEDBİRLER

KVKK’nun 22’nci maddesinin birinci fıkrasının (ç) ve (e) bentleri uyarınca Veri Sorumlusu tarafından aşağıda sayılan önlemler alınmaktadır;

Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan personellere yönelik;

KVKK ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında gerekli teknik beceri ve farkındalığı kazanması adına konuyla ilgili eğitim sağlanmıştır.
Personelle konuyla ilgili gizlilik sözleşmeleri yapılmıştır.
Personellere yönelik tanımlana yetki kontrolleri periyodik olarak kontrolü gerçekleştirilmektedir.
Görev değişikliği olan ya da Veri Sorumlusu ile ilişiği kesilen personellerin bu alandaki yetkileri derhal kaldırılmaktadır.

Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise;

Verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmelerinin yapılması,

Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise;

Özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alınmıştır.
Bu ortamların fiziksel güvenliğinin sağlanarak yetkisiz giriş çıkışların engellenmektedir.

SAKLAMA VE İMHA SÜRELERİ

Veri Sorumlusu, KVKK ve ilgili mevzuat hükümlerine uygun olarak elde edilen kişisel verileri saklama ve imha sürelerinin tespitinde belirtilen kriterlerden yararlanmaktadır.

Veri Sorumlusu tarafından, faaliyetleri kapsamında işlenmekte olan kişisel verilerle ilgili olarak;

Süreçlere bağlı olarak gerçekleştirilen faaliyetler kapsamındaki tüm kişisel verilerle ilgili kişisel veri bazında saklama süreleri Kişisel Veri İşleme Envanteri’nde,
Süreç bazında saklama süreleri ise Kişisel Veri Saklama ve İmha Politikasında,

Yer verilmektedir.

Söz konusu saklama süreleri üzerinde, gerekmesi halinde ilgili/yetkili birim tarafından güncellemeler yapılır.

Kişisel verinin saklanmasına ve imhasına ilişkin olarak KVKK veya yönetmeliklerde öngörülmüş olan sürelere uyulmaktadır.

Anılan sürenin sona ermesi halinde; saklama süreleri sona eren kişisel veriler için re’sen silme, yok etme veya anonim hale getirme işlemi ilgili/yetkili birim tarafından tarafından yerine getirilir.

KVKK’da veya yönetmeliklerde söz konusu verinin saklanmasına ilişkin olarak herhangi bir süre öngörülmemiş olması durumunda;

KVKK’nun 6’ncı maddesine göre özel nitelikte olduğu tespit edilen tüm kişisel veriler imha edilir. Söz konusu verilerin imhasında uygulanacak yöntem verinin niteliği ve saklanmasının Veri Sorumlusu açısından önem derecesine göre belirlenir.
Verinin saklanmasının KVKK’nun 4’üncü maddesinde belirtilen ilkelere uygunluğu sorgulanır. Saklanmasının KVKK’nun 4’üncü maddesinde yer alan ilkelere aykırılık teşkil edebileceği tespit edilen veriler silinir, yok edilir ya da anonim hale getirilir.
Verinin saklanmasının KVKK’nun 5 ve 6’ncı maddelerinde öngörülmüş olan istisnalardan hangileri kapsamında değerlendirilebileceği tespit edilir. Bu istisnalar çerçevesinde verilerin saklanması gereken makul süreler tespit edilir. Söz konusu sürelerin sona ermesi halinde ise silme, yok etme veya anonim hale getirme işlemleri uygulanır.

KİŞİSEL VERİLERİN İMHA USULLERİ
- KİŞİSEL VERİLERİN SİLİNMESI

Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Veri Sorumlusu, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirleri alma yükümlülüğünü yerine getirmektedir.

Kişisel veriler çeşitli kayıt ortamlarında saklanabilmeleri mümkün olduğundan, bu verilerin silinmesinde kullanılacak yöntemler kayıt ortamlarına uygun olmalıdır. Veri Sorumlusu tarafından uygulanan yöntemler aşağıda sayılmaktadır.

Kağıt Ortamında Bulunan Kişisel Veriler: Karartma işlemi, ilgili evrak üzerindeki kişisel verilerin, mümkün olan durumlarda kesilmesi, mümkün olmayan durumlarda ise geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit mürekkep kullanılarak ilgili kullanıcılara görünemez hale getirilmesi şeklinde yapılmaktadır.

Merkezi Sunucuda Yer Alan Veriler: Veriler işletim sistemindeki silme komutu ile silinir veya dosya ya da dosyanın bulunduğu dizin üzerinde ilgili kullanıcının erişim hakları kaldırılır. Anılan işlem gerçekleştirilirken ilgili kullanıcının aynı zamanda sistem yöneticisi olmadığına dikkat edilmektedir.

Veri Tabanları: Kişisel verilerin bulunduğu ilgili satırlar veri tabanı komutları ile silinmektedir. Anılan işlem gerçekleştirilirken ilgili kullanıcının aynı zamanda veri tabanı yöneticisi olduğuna dikkat edilmektedir. Ancak anılan işlemi yalnızca sistem yöneticisi gerçekleştirebilir.

KİŞİSEL VERİLERİN YOK EDİLMESİ

Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Veri Sorumlusu kişisel verilerin yok edilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri alma yükümlülüğünü yerine getirmiştir.

Kişisel verilerin yok edilmesi için, verilerin bulunduğu tüm kopyaların tespit edilir ve verilerin bulunduğu sistemlerin türüne göre aşağıda yer verilen yöntemlerden bir ya da birkaçının kullanılmasıyla tek tek yok edilmektedir.

Çevresel Sistemler

Ortam türüne bağlı olarak kullanılan yok etme yöntemleri aşağıda yer almaktadır:

Ağ Cihazları: Söz konusu cihazların içindeki saklama ortamları sabittir. Ürünler, çoğu zaman silme komutuna sahiptir ama yok etme özelliği bulunmamaktadır. Yerel sistemlerde belirtilen uygun yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilmektedir.

Kağıt ve Mikrofiş Ortamları: Söz konusu ortamlardaki kişisel veriler, kalıcı ve fiziksel olarak ortam üzerine yazılı olduğundan ana ortam yok edilmektedir. Bu işlem gerçekleştirilirken ortamı kağıt imha veya kırpma makinaları ile anlaşılmaz boyutta, geri birleştirilemeyecek şekilde küçük parçalara bölmek gerekir.

Orijinal kağıt formattan, tarama yoluyla elektronik ortama aktarılan kişisel verilerin ise bulundukları elektronik ortama göre yerel sistemlerde belirtilen yöntemlerin bir ya da birkaçı kullanılarak yok edilmektedir.

Fiziksel Yok Etme: Optik medya ve manyetik medyanın eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemidir. Optik veya manyetik medyayı eritmek, yakmak, toz haline getirmek ya da bir metal öğütücüden geçirmek gibi işlemlerle verilerin erişilmez kılınması sağlanır.

Katı hal diskler bakımından üzerine yazma veya de-manyetize etme işlemi başarılı olmazsa, bu medya da fiziksel olarak yok edilmektedir.

KİŞİSEL VERİLERİN ANONİM HALE GETİRİLMESİ

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.

Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, Veri Sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.

SAKLAMA VE İMHA SÜRELERİ

SÜREÇ

SAKLAMA SÜRESİ

İMHA SÜRESİ

KANUNİ DAYANAK

Personel İşlemlerinin Süreçlerinin Yürütülmesi

Hukuki İlişki Süresince +10 Yıl