KİŞİSEL VERİLERİN KORUNMASI VE GİZLİLİK POLİTİKASI
KİŞİSEL VERİLERİN KORUNMASI VE GİZLİLİK POLİTİKASI
Önsöz
Kökler ve Filizler Derneği (“Bundan böyle kısaca “Dernek” olarak anılacaktır.) olarak, siz değerli üyelerimizin, gönüllülerimizin ve bizimle herhangi bir şekilde temas ederek herhangi bir kişisel verisini bizimle paylaşmış olan herkesin bilgilerini titizlikle muhafaza etmekteyiz. Bu bilgilerin güvenliğini sağlamak için Dernek içinde gerekli bütün tedbirleri alınmış olup, Dernek ile kişisel verilerinizin güvende olacağı duygusuyla iletişim kurabilirsiniz. Gerek T.C. Anayasası gerekse Kanunları ile güvence altına alınan haklarınıza riayet etmekteyiz. Aşağıda Derneğimizde yürürlüğe konulan Veri Politikamızı sizlerle paylaşıyoruz.
Sizlerden gelecek iyileştirme önerilerine, başvurularınıza ve olası şikayetlerinize karşı bütün duyarlılığı göstereceğimizden emin olabilirsiniz. Kişisel verilerinizle ilgili bütün tereddütlerinizde bizlere başvurabilirsiniz. Bizler bütün faaliyetlerimizde olduğu gibi kişisel verilerinizin korunması konusunda da aynı hassasiyeti ve özeni göstereceğiz.
Saygılarımızla,
Kökler ve Filizler Derneği
1.Amacı
Bugüne kadar, Kökler ve Filizler Derneği olarak yürütmekte olduğumuz faaliyetler gereğince toplanan kişisel veriler gizli tutulmuş ve hiçbir zaman üçüncü kişilerle amacı dışında paylaşılmamıştır. Kişisel verilerin korunması, Derneğimizin temel politikasıdır. Herhangi bir yasal düzenleme olmadan önce de Derneğimiz, kişisel verilerin gizliliğine büyük önem vermiş ve bunu bir çalışma ilkesi olarak benimsemiştir. Kişisel Verilerin Korunması Kanunu’nun getirdiği bütün sorumluluklara uymayı da Dernek olarak taahhüt etmekteyiz.
2.Kapsamı ve Değiştirilmesi
Derneğimiz tarafından hazırlanan bu Politika, 6698 sayılı Kişisel Verilerin Korunması Kanunu’na (“KVKK”) uygun olarak hazırlanmıştır.
Sizlerden rızanızla ya da Kanunda sayılan diğer hukuka uygunluk halleri gereğince elde edilmiş veriler, yürütmekte olduğumuz faaliyetlerin devamı ve iyileştirilmesi amacıyla kullanılacaktır. Yine elimizdeki bazı veriler ise, kişisel olmaktan çıkarılmakta ve anonimleştirilmektedir. Bu veriler, istatistiki amaçlarla kullanılan verilerdir ve Kanunun uygulamasına ve Politikamıza tabi değildir.
Derneğin Kişisel Verilerin Korunması ve Gizlilik Politikası, üyelerimiz, gönüllülerimiz, çalışanlarımız ile çözüm ortaklığı veya işbirliği içinde çalıştığımız diğer STK’ların gönüllülerinin ve çalışanlarının ya da diğer 3. kişilerin otomatik olan yahut olmayan yollarla elde edilen verilerinin korunmasını amaçlar ve bunlara ilişkin düzenlemeleri içerir.
Derneğimiz, politikamızı ve yönergemizi, Kanuna uygun olmak ve kişisel verilerin daha iyi korunması şartı ile değiştirme hakkına sahiptir.
3.Kişisel Verilerin İşlenmesi İle İlgili Temel Kurallar
a.Hukuka ve dürüstlük kurallarına uygun olma: Dernek, topladığı ya da kendisine diğer Derneklerden gelen verilerin kaynağını sorgular ve bunların hukuka uygun ve dürüstlük kuralları çerçevesinde elde edilmiş olmasına önem verir.
b.Doğru ve Güncel olma: Dernek bünyesinde bulunan bütün verilerin doğru bilgi olmasına, yanlış bilgi içermemesine ve nihayetinde kişisel verilerdeki değişiklikleri kendisine iletildiği takdirde güncellemeye önem verir.
c.Belirli, açık ve meşru amaçlar için işlenme: Dernek, sadece dernek faaliyet ve amaçları gereği, hukuka uygun şekilde elde ettiği verileri, verilerin elde edilme amacıyla sınırlı kalacak şekilde işler.
d.İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma: Dernek, verileri sadece işlendikleri amaçla sınırlı olarak ve dernek faaliyetlerinin gerektirdiği ölçüde kullanır. Dernek faaliyet ve amaçları dışında verileri işlemez, kullanmaz ve kullandırtmaz.
e.İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme: Dernek, işlediği verileri ancak mevzuatta öngörülen süreler kadar veya böyle bir süre yoksa işlenme amaçlarına uygun olduğu müddetçe bünyesinde muhafaza eder. Buna karşın bu amaçlar ortadan kalktığında veriyi siler ya da anonimleştirir. Bunları Kişisel Verileri Silme Yönergesi’ne göre siler veya yok eder.
Önemle belirtelim ki, rızaya dayanarak ve/veya diğer hukuka uygun sebeplerle elde edilmiş ya da işlenmiş tüm veriler açısından yukarıda sıraladığımız bu ilkeler geçerlidir.
KVKK m.11’e göre aşağıda sayılan haklarınız bulunmaktadır. Bu haklarınızı kolaylaştırmak için ayrıca bir başvuru formu da tarafımızdan hazırlanmış ve web sayfamızda sizlere sunulmuştur.
Kişisel verileri işlenen kişiler, Dernek tarafından web sayfamızda duyurulan ilgilimize başvurarak kendi verileri ile ilgili olarak;
a) Kişisel verilerinin işlenip işlenmediğini öğrenme,
b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
d) Yurt içinde kişisel verilerin aktarıldığı üçüncü kişileri bilme,
e) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
f) Kanunda öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
g) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
h) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
i) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme,
haklarına sahiptir.
4.Azami Tasarruf İlkesi
Azami tasarruf ilkesi adı verilen bu ilkemize göre Derneğe ulaşan veriler, ancak gerekli olduğu kadar sisteme işlenir. Bu nedenle hangi verileri toplayacağımız amaca göre belirlenir. Gerekli olmayan veriler toplanmaz. Derneğimize intikal eden diğer veriler de aynı şekilde Dernek bilişim sistemlerine aktarılır. Fazlalık bilgiler, sisteme kaydedilmez, silinir ya da anonim hale getirilir. Bu veriler, istatistiki amaçlarla kullanılabilir.
5.Kişisel Verilerin Silinmesi
Kanunen saklanması gereken sürelerin dolması, yargı süreçlerinin tamamlanması ya da diğer gereklilikler ortadan kalktığında, Derneğimiz tarafından kendiliğinden ya da ilgili kişinin talebi üzerine kişisel veriler silinir, yok edilir ya da anonim hale getirilir.
6.Doğruluk ve Veri Güncelliği
Dernek bünyesinde bulunan veriler, kural olarak ilgili kişilerin beyanı üzerine beyan ettiği şekilde işlenir. Dernek, üyeler, gönüllüler ya da Dernek ile temas kuran kişilerin beyan ettiği verilerin doğruluğunu araştırmak zorunda olmadığı gibi, bu hukuken ve çalışma ilkelerimiz nedeniyle de yapılmaz. Beyan edilen veriler, doğru kabul edilir. Kişisel verilerin doğruluğu ve güncelliği ilkesi Dernek tarafından benimsenmiştir. Derneğimiz, kendisine ulaşan belgelerden veya ilgilisinin talebi üzerine işlemiş olduğu kişisel verileri günceller. Bunun için gerekli önlemleri alır.
7.Gizlilik ve Veri Güvenliği
Kişisel veriler gizlidir ve Dernek bu gizliliğe riayet etmektedir. Kişisel verilere Dernek içinde ancak yetki verilmiş kişiler ulaşabilir. Dernek tarafından toplanan kişisel verilerin korunması ve yetkisiz kişilerin eline geçmemesi ve veri sahibinin mağdur olmaması için gerekli teknik ve idari bütün tedbirler alınmaktadır. Bu çerçevede yazılımların standartlara uygun olması, üçüncü partilerin özenle seçilmesi ve Dernek içinde de veri koruma politikasına riayet edilmesi sağlanmaktadır. Hukuka uygun olarak kişisel verileri paylaştığımız 3. kişilerden de verileri koruması talep edilir.
8.Veri İşleme Amaçları
Derneğin kişisel verileri toplaması ve işlemesi, aydınlatma metninde belirtilen amaçlar doğrultusunda icra edilecektir.
9.Üye ve Gönüllülerimizin Verisi
a) Üyelerimizin Verilerinin Toplanması ve İşlenmesi
Üyelerimizden, üyelik başvurusu kapsamında toplanmış olan kişisel veriler, Dernek amaç ve faaliyetleri doğrultusunda, üyelerimizin onayı alınmaksızın kullanılabilir. Faaliyetlerimizin gereklilikleri ve iyileştirilmesi ölçüsünde veriler kullanılır ve gerektiğinde güncellenir ve gerçekleştirilecek faaliyetler kapsamında işlenir. Üyemizin talebi halinde veriler kanuni yükümlülüklerimizin izin verdiği ölçüde silinir.
b) Gönüllülerimizin Verileri
Gönüllülerimizin Dernek faaliyetleri kapsamında toplanmış olan kişisel verileri, gönüllülerimizin onayı alınmaksızın kullanılmaz. Gönüllülerimizin verileri güncel veya gelecekteki faaliyetlerimizin gereklilikleri ölçüsünde işlenir ve gerektiğinde güncellenir. Ancak ilgili kişinin ilk talebiyle birlikte silinir.
10.Derneğin Hukuki Yükümlülüğü veya Kanunda Açıkça Öngörülmesi Sebebiyle Yapılan Veri İşlemleri
Kişisel veriler, işlemenin ilgili mevzuatta açıkça belirtilmesi veya mevzuatla belirlenen bir hukuki yükümlülüğün yerine getirilmesi amacıyla, ayrıca onay alınmadan işlenebilir. Veri işlemlerinin tür ve kapsamı, yasal olarak izin verilen veri işleme faaliyeti için gerekli olmalı ve ilgili yasal hükümlere uygun olmalıdır.
11.Derneğin Veri İşlemesi
Derneğin yürüttüğü faaliyet, hizmet ve meşru amaçları doğrultusunda kişisel veriler işlenebilir. Ancak veriler hiçbir şekilde hukuka aykırı eylemler için kullanılamaz.
12.Özel Nitelikli Verilerin İşlenmesi
Kanun’a göre Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.
Dernek, özel nitelikli kişisel verilerin işlenmesinde, Kurul tarafından ayrıca belirlenen önlemlerin hepsini alır.
Dernek, yürüttüğü faaliyetlerin gerçekleştirilebilmesi ve geliştirilebilmesi için kişilerin onayı ile özel nitelikli verileri ancak toplandıkları amaç için işleyebilir.
13.Otomatik Sistemlerle İşlenen Veriler
Dernek, otomatik sistemler aracılığı ile işlenen veriler konusunda Kanuna uygun davranır. Kişilerin açık rızası olmaksızın bu verilerden elde edilen bilgiler kişi aleyhine kullanılamaz. Ancak Dernek, kendi sistemindeki verileri kullanarak işlem yapacağı kişilerle ilgili kararlar alabilir.
14.Kullanıcı Bilgileri ve İnternet
Derneğe ait web siteleri ve diğer sistemlerde veya uygulamalarda kişisel verilerin toplanması, işlenmesi ve kullanılması durumunda ilgili kişiler gizlilik bildirimi ile ve gerekirse çerezler hakkında bilgilendirilir.
Kişiler, web sayfalarındaki uygulamalarımız konusunda bilgilendirilir. Kişisel veriler, hukuka uygun olarak işlenecektir.
15.Çalışanlarımıza Ait Veriler
a) İş İlişkisi İçin Verilerin İşlenmesi
Çalışanlarımızın kişisel verileri, iş ilişkileri ve sağlık sigortası bakımından gerekli olduğu kadarıyla onay alınmaksızın işlenebilir. Dernek, çalışanlarına ait verilerin gizliliği ve korunmasını temin eder.
b) Hukuki Yükümlülükler Gereği İşleme
Dernek, çalışanlarına ait kişisel verileri, işlemenin ilgili mevzuatta açıkça belirtilmesi veya mevzuatla belirlenen bir hukuki yükümlülüğün yerine getirilmesi amacıyla ayrıca onay alınmadan verileri işleyebilir. Bu husus, kanundan kaynaklanan yükümlülüklerle sınırlıdır.
c) Çalışanların Yararına İşlemeler
Dernek, özel sağlık sigortaları gibi Dernek çalışanlarının menfaatine olan işlemler için onay almaksızın kişisel verileri işleyebilir. İş ilişkilerinden kaynaklanan ihtilaflar için de Dernek, çalışanlara ait verileri işleyebilir.
d) Özel Nitelikli Verilerin İşlenmesi
Kanun’a göre Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.
Dernek, özel nitelikli kişisel verilerin işlenmesinde, ilgili kişinin onayı yanında Kurul tarafından ayrıca belirlenen yeterli önlemleri alır. Özel nitelikli kişisel veriler kişinin onayı olmaksızın ancak Kanunda izin verilen hallerle ilgili ve sınırlı olarak işlenebilir.
e) Telekomünikasyon ve İnternet
Dernek içinde çalışanlara tahsis edilen bilgisayar, telefon, e-posta ve diğer uygulamalar çalışana sadece iş amacı ile tahsis edilmiştir. Çalışan Derneğin kendisine tahsis ettiği bu vasıtaların hiçbirini özel amaçları ve iletişimi için kullanamaz. Dernek bu araçlar üzerindeki bütün verileri kontrol edebilir ve denetleyebilir. Çalışan, işe başladığı andan itibaren kendisine tahsis edilen bilgisayarda, telefonlarda ya da diğer araçlarda iş dışında başka bir veri ya da bilgi bulundurmayacağını taahhüt etmektedir.
16.Kişisel Verilerin Yurt İçi ve Dışına Aktarılması
Kişisel veriler, Dernek tarafından dernek iş ve işlemleri ile faaliyetlerinin sürdürülebilmesi amacıyla ve amaçla sınırlı olmak kaydıyla; faaliyet, iş ve çözüm ortakları ile paylaşılabilir, yurt içi ve dışına aktarılabilir.
Dernek, Kurul tarafından belirlenen şartlar dahilinde kişisel verileri Kanundaki diğer şartlara uygun olarak ve kişinin onayına bağlı olarak yurt içi ve yurt dışına aktarma yetkisine sahiptir.
17. İlgili Kişinin Hakları
Dernek, Kanun kapsamında ilgili kişinin veri işlenmeden önce onayının alınması hakkının olduğunu, verinin işlenmesinden sonra ise verisinin kaderini tayin etme hakkına sahip olduğunu kabul etmektedir.
Dernek tarafından web sayfamızda duyurulan ilgilimize başvurarak kişisel verilerle ilgili olarak;
a) Kişisel verilerinin işlenip işlenmediğini öğrenme,
b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
d) Yurt içinde kişisel verilerin aktarıldığı üçüncü kişileri bilme,
e) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
f) 7’nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
g) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
h) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
i) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme hakkına sahiptir.
Buna karşın,
Dernek içinde anonimleştirilmiş verilerle ilgili olarak kişilerin bir hakkı bulunmamaktadır. Dernek, kişisel verileri, bir yargısal görevin ya da devlet otoritesinin Kanuni yetkilerini kullanması amacıyla ilgili kurum ve kuruluşlarca paylaşabilir.
Kişisel veri sahipleri yukarıda belirtilen haklarına ilişkin taleplerini Dernek resmi internet adresinden temin edebileceği başvuru formunu eksiksiz doldurarak ve ıslak imza ile imzalayarak, Dernek açık adresine, iadeli taahhütlü mektupla ve kimlik fotokopileriyle (nüfus cüzdanı için sadece ön yüz fotokopisi olacak şekilde) gönderebileceklerdir. Başvurularınız, başvurunuzun içeriğine göre en kısa sürede ya da Derneğimize ulaşmasından sonra en geç 30 gün içinde cevaplanacaktır. Başvurularınızı, iadeli taahhütlü mektupla yapmanız gerekmektedir. Ayrıca başvurularınızın sadece sizlerle ilgili kısmı cevaplanacak olup, eşiniz, yakınınız ya da arkadaşınız hakkında yapılan bir başvuru kabul edilmeyecektir.
Dernek, başvuru sahiplerinden başkaca bilgi ve belge talep edebilir.
18.Gizlilik İlkesi
Üyeler, gönüllüler, çalışanlar ve diğer tüm gerçek kişilerin Dernekteki verileri gizlidir. Kanuna aykırı olarak kişisel veriler kopyalanamaz, çoğaltılamaz, başkalarına aktarılamaz ve Dernek amaçları dışında kullanılamaz.
19.İşlem Güvenliği
Dernek tarafından toplanan kişisel verilerin korunması ve yetkisiz kişilerin eline geçmemesi ve üyelerimiz ve gönüllülerimizin mağdur olmaması için gerekli teknik ve idari bütün tedbirler alınmaktadır. Bu çerçevede yazılımların standartlara uygun olması, üçüncü partilerin özenle seçilmesi ve Dernek içinde de veri koruma politikasına riayet edilmesi sağlanmaktadır. Güvenliğe ilişkin önlemler, sürekli olarak yenilenmekte ve geliştirilmektedir.
20.Denetim
Dernek, kişisel verilerin korunması konusunda gerekli denetimleri yaptırır.
21.İhlallerin Bildirimi
Dernek, kişisel verilerle ilgili herhangi bir ihlal olduğu kendisine bildirildiğinde söz konusu ihlali gidermek için derhal harekete geçer. İlgilinin zararını en aza indirir ve zararı telafi eder. Kişisel verilerin dışarıdan yetkisiz kimselerce ele geçirildiğinde durumu derhal Kişisel Verileri Koruma Kurulu’na bildirir.
İhlallerin bildirimi ile ilgili https://rootsandshootsturkey.org/aydinlatma-metni/ adresinde belirtilen usullere göre başvuruda bulunabilirsiniz. KVKK Başvuru ve Bilgi Talep formu için tıklayınız.
ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI
1.Amaç
İşbu Özel Nitelikli Kişisel Verilerin Korunması ve İşlenmesi Politikası’nın amacı, Kişisel Verileri Koruma Kurulu’nun 31/01/2018 tarihli ve 2018/10 sayılı Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler kararından doğan hukuki yükümlülüklerin yerine getirilmesi ile özel nitelikli kişisel verilerin işlenmesinde alınan teknik ve idari tedbirlerin ortaya konulmasıdır.
2.Tanımlar
Açık Rıza: Belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza
İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi
Kanun: 6698 sayılı Kişisel Verilerin Korunması Kanunu
Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlün bilgi
Kişisel Verilerin anonim hâle getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini,
Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,
Kişisel verilerin silinmesi: Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemi.
Kişisel verilerin yok edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi
Kurul: Kişisel Verileri Koruma Kurulu
Politika: Özel Nitelikli Kişisel Verilerin Korunması ve İşlenmesi Politikası
Dernek: Kökler ve Filizler Derneği
Veri Sahibi: Kişisel verisi işlenen gerçek kişi
Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi,
ifade eder.
3.Özel Nitelikli Kişisel Verilerin İşlenmesi
Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel verilerdir.
Dernek, özel nitelikli kişisel verilerin işlenmesinde Kanuna ve diğer mevzuat hükümlerine riayet eder. Bu doğrultuda özel nitelikli kişisel veriler aşağıdaki ilkelere uygun olarak işlenir:
- Hukuka ve dürüstlük kurallarına uygun olma
- Doğru ve gerektiğinde güncel olma
- İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma
- Belirli, açık ve meşru amaçlar için işlenme
- Mevzuatta öngörülen ya da işlendikleri amaç için gerekli olan süre kadar muhafaza edilme
Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, Dernek tarafından veri sahibinin açık rızasının alındığı durumlarda ya da kanunlarda öngörülen hallerde işlenmektedir.
Sağlık ve cinsel hayata ilişkin veriler ise veri sahibinin açık rızasının alındığı durumlarda ya da kamu sağlığının korunması, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, koruyucu hekimlik, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla işlenmektedir.
4.Özel Nitelikli Kişisel Verilerin Korunması İçin Alınan Teknik ve İdari Tedbirler
Dernek, özel nitelikli kişisel verilerin Kanuna ve ilgili mevzuata uygun olarak işlenmesi ile özel nitelikli kişisel verilerin güvenliğinin sağlanması için her türlü tedbiri almaktadır. Bu kapsamda alınan tedbirler aşağıda sıralanmıştır:
a) İdari Tedbirler
- Dernek, özel nitelikli kişisel verilerin işlenme süreçlerinde yer alan çalışanlara yönelik özel nitelikli kişisel verilerin korunması ve işlenmesi konusunda düzenli eğitimler vermektedir.
- Dernek, çalışanları ile veri güvenliğinin sağlanması için gizlilik sözleşmeleri akdetmektedir.
- Verilere erişim yetkisine sahip kullanıcılar, yetki kapsamları ve süreleri net olarak tanımlanmakta ve periyodik yetki kontrolleri gerçekleştirilmektedir.
- Görev değişikliği olan ya da işten ayrılan çalışanların kişisel verilere erişim yetkileri derhal kaldırılmaktadır. Dernek, bu kapsamda çalışanlara tahsis etmiş olduğu envanterleri derhal iade almaktadır.
b) Teknik Tedbirler
i)Elektronik Ortamda Muhafaza Edilen ve/veya Erişilen Özel Nitelikli Kişisel Veriler Bakımından Alınan Teknik Tedbirler
- Özel nitelikli kişisel veriler kriptografik yöntemler kullanılarak muhafaza edilmektedir.
- Kriptografik anahtarlar güvenli ve farklı ortamlarda tutulmaktadır.
- Özel nitelikli kişisel veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtları güvenli olarak loglanmaktadır.
- Özel nitelikli kişisel verilerin bulunduğu ortamlara ait güvenlik güncellemeleri sürekli takip edilmekte, gerekli güvenlik testleri düzenli olarak yapılmakta/yaptırılmakta ve test sonuçları kayıt altına alınmaktadır.
- Özel nitelikli kişisel verilerin erişildiği yazılımlara ait kullanıcı yetkilendirmeleri yapılmakta, bu yazımların güvenlik testleri düzenli olarak yapılmakta/yaptırılmakta ve test sonuçları kayıt altına alınmaktadır.
- Özel nitelikli kişisel verilere uzaktan erişim sağlandığı hallerde en az iki kademeli doğrulama sistemi kullanılmaktadır.
ii)Fiziksel Ortamda Muhafaza Edilen ve/veya Erişilen Özel Nitelikli Kişisel Veriler Bakımından Alınan Teknik Tedbirler
- Özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemleri alınmaktadır.
- Bu ortamların fiziksel güvenliği sağlanmakta ve yetkisiz giriş çıkışlar engellenmektedir.
5.Özel Nitelikli Kişisel Verilerin Aktarılması
Dernek, özel nitelikli kişisel verileri Kanun’un 8. ve 9. maddelerinde yer alan veri işleme şartları çerçevesinde aktarmaktadır. Veri güvenliğini sağlama amacıyla Dernek tarafından veri aktarımında aşağıdaki kurallar uygulanmakta ve bu kapsamda periyodik denetimler gerçekleştirilmektedir.
- E-Posta Yoluyla Aktarım
Özel nitelikli kişisel verilerin e-posta yoluyla aktarıldığı hallerde şifreli olarak kurumsal e-posta adresi kullanılarak aktarım yapılmaktadır.
- Taşınabilir Bellek, CD, DVD Gibi Ortamlar Yoluyla Aktarım
Özel nitelikli kişisel verilerin taşınabilir bellek, CD, DVD gibi ortamlar yoluyla aktarıldığı hallerde kriptografik yöntemlerle şifrelenme işlemi yapılmakta ve kriptografik anahtar farklı bir ortamda tutulmaktadır.
- Farklı Fiziksel Ortamlardaki Sunucular Arasında Aktarım
Farklı fiziksel ortamlardaki sunucular arasında özel nitelikli kişisel veri aktarımında, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımı gerçekleştirilmektedir.
- Kâğıt Ortamı Yoluyla Aktarım
Özel nitelikli kişisel verilerin kâğıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınmakta ve evrak “gizlilik dereceli belgeler” formatında gönderilmektedir.
6.Özel Nitelikli Kişisel Verilerin Saklanması ve İmhası
Özel nitelikli kişisel veriler, Dernek tarafından Kanun ile diğer mevzuata ve Kurul tarafından yayımlanan Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler kararına uygun olarak aşağıdaki hallerde saklanmaktadır:
- Veri sahibinin açık rızasının elde edilmiş olması
- Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel verilerin saklanmasının kanunlarda öngörülmüş olması
- Sağlık ve cinsel hayata ilişkin verilerin kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla saklanması
Dernek tarafından Kanun ile diğer mevzuata uygun olarak saklanan özel nitelikli kişisel veriler aşağıdaki sebeplerin ortaya çıkması halinde re’sen ya da veri sahibinin talebi üzerine silinir, yok edilir ya da anonim hale getirilir:
- Özel nitelikli kişisel veri saklama faaliyetinin veri sahibinin açık rızasına dayandığı hallerde açık rızanın geri alınmış olması
- Özel nitelikli kişisel verilerin saklanma amacının gerçekleşmiş, imkansızlaşmış ya da diğer herhangi bir yolla ortadan kalkmış olması
- Özel nitelikli kişisel verilerin saklanmasına dayanak teşkil eden mevzuat hükümlerinin değişmesi ya da yürürlükten kalkması
- Kanun’un 6. maddesinde yer alan işlenme şartlarının tamamının ortadan kalkmış olması
- Veri sahibinin Derneğe usulüne uygun olarak ilettiği özel nitelikli kişisel verilerinin imhasına ilişkin talebinin Dernek tarafından haklı görülmesi ve olumlu sonuçlandırılması
- Derneğin, veri sahibi tarafından özel nitelikli kişisel verilerinin imhası talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanun’da öngörülen süre içinde cevap vermemesi hallerinde; Kurul’a şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması.
Özel nitelikli kişisel verilerin saklanmasına ve imhasına ilişkin diğer hususlar Dernek Kişisel Veri Saklama ve İmha Politikasında düzenlenmiştir.