Kişisel Verilerin Korunması Ve İşlenmesi Politikası
KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI
TÜRK ORTOPEDİ VE TRAVMATOLOJİ DERNEĞİ
KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI
İÇİNDEKİLER
1. GİRİŞ
1.1. Amaç
1.2. Kapsam
1.3. Kısaltmalar ve Tanımlar
2. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN TEMEL İLKELER
3. KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASINA İLİŞKİN HUKUKİ YÜKÜMLÜLÜKLER
3.1. Veri Güvenliğinin Sağlanması Yükümlülüğü
3.2. Aydınlatma Yükümlülüğü
4. KİŞİSEL VERİLERİN İŞLENME ŞARTLARI
5. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENME ŞARTLARI
6. İŞLENEN KİŞİSEL VERİLERE İLİŞKİN KATEGORİLER
7. KİŞİSEL VERİ İŞLEME AMAÇLARI
8. KİŞİSEL VERİLERİ TOPLAMA YÖNTEMLERİ VE HUKUKİ NEDENLERİ
9. KİŞİSEL VERİLERİN AKTARILMASI
10. KİŞİSEL VERİLERİN SAKLANMASI VE İMHASI
11. KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN ALINAN TEDBİRLER
11.1. Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak ve Kişisel Verilere Hukuka Aykırı Erişilmesini Önlemek İçin Alınan İdari Tedbirler
11.2. Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak ve Kişisel Verilere Hukuka Aykırı Erişilmesini Önlemek İçin Alınan Teknik Tedbirler
11.3. Kişisel Verilerin Hukuka Aykırı olarak İfşası Durumunda Alınacak Tedbirler
12. KİŞİSEL VERİ SAHİPLERİNİN HAKLARI VE BU HAKLARIN KULLANILMASI
12.1. Kişisel Veri Sahibinin Hakları
12.2. Mevzuat Gereği Başvuru Hakkı Kapsamı Dışında Kalan Durumlar
12.3. Kişisel Veri Sahibinin Haklarını Kullanması
13. POLİTİKANIN YÜRÜRLÜĞÜ VE GÜNCELLENMESİ
1. GİRİŞ
1.1. Amaç
6698 sayılı Kişisel Verilerin Korunması Kanunu'nda yer alan düzenlemelere, Kişisel Verileri Koruma Kurulu kararlarına ve ikincil mevzuata uyum kapsamında hazırlanmış bulunan bu "Kişisel Verilerin Korunması ve İşlenmesi Politikası"nın temel amacı; Türk Ortopedi ve Travmatoloji Derneği ve kendisine bağlı Türk Ortopedi ve Travmatoloji Derneği İktisadi İşletmesi tarafından yasal mevzuat çerçevesinde gerçekleştirilen kişisel veri işleme faaliyetinin yürütülmesinde benimsenen ilkelerin belirlenmesi, veri sahiplerinin şeffaf ve doğru şekilde bilgilendirilmesi ve haklarını etkin şekilde kullanabilmelerinin sağlanmasıdır.
1.2. Kapsam
İşbu politika Türk Ortopedi ve Travmatoloji Derneği'nin işlemekte olduğu kişisel verilere yönelik tüm faaliyetleri kapsar ve söz konusu faaliyetlere uygulanır.
1.3. Kısaltmalar ve Tanımlar
| TOTDER (Dernek): | Türk Ortopedi ve Travmatoloji Derneği ve Türk Ortopedi ve Travmatoloji Derneği İktisadi İşletmesi |
| Açık rıza: | Belirli bir konuya ilişkin, bilgilendirilmeye ve özgür iradeye dayanan, tereddüte yer bırakmayacak açıklıkta, sadece o işlemle sınırlı olarak verilen onay |
| Alenileştirme: | Kişisel verilerinin ilgili kişinin kendisi tarafından herhangi bir şekilde kamuoyuna açıklanmış olmasıdır. |
| Anonim hale getirme: | Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi. |
| Aydınlatma Yükümlülüğü: | Veri sorumlusunun, kişisel verilerini işlediği kişilere, bu verilerinin kim tarafından, hangi amaçlarla ve hangi hukuki gerekçelere dayanarak işlenebileceği, kimlere hangi amaçlarla aktarılabileceği hususunda bilgi vermesi yükümlülüğüdür. |
| Çalışan: | TOTDER personeli |
| Çalışan adayı: | TOTDER'e iş başvurusunda bulunmuş olan kişiler |
| İlgili Kişi (Kişisel Veri Sahibi): | Kişisel verisi işlenen gerçek kişiler |
| İmha: | Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini ifade eder. |
| Kişisel veri: | Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi |
| Özel nitelikli kişisel veri: | Kişilerin, ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik veriler |
| Kişisel verilerin işlenmesi: | Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem |
| KVKK: | 7 Nisan 2016 tarihli ve 29677 sayılı Resmî Gazetede yayımlanan Kişisel Verilerin Korunması Kanunu |
| Politika: | TOTDER Kişisel Verilerin Korunması ve İşlenmesi Politikası |
| Veri işleyen: | Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi |
| Veri Kategorisi: | Kişisel verilerin ortak özelliklerine göre gruplandırıldığı veri konusu kişi grubu veya gruplarına ait kişisel veri sınıfıdır. |
| Veri sorumlusu: | Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişi |
2. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN TEMEL İLKELER
TOTDER tarafından kişisel verilerin işlenmesinde aşağıda yer alan genel ilkelere bağlı kalınmaktadır.
| Hukuka ve Dürüstlük Kuralına Uygun Olma | TOTDER tarafından kişisel veriler ilgili kişilerin temel hak ve özgürlüklerine zarar gelmeyecek şekilde, T.C. Anayasası ve kişisel verilerin korunması mevzuatı çerçevesinde hukuka ve dürüstlük kuralına uygun olarak; şeffaf bir şekilde ve aydınlatma yükümlülüklerine uyularak işlenmektedir. |
| Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama | İşlenen kişisel verilerin işlendiği süre boyunca doğru ve güncel olması için TOTDER gerekli önlemleri almakta; aktif özen yükümlülüğü çerçevesinde ilgili kişinin bilgilerinin doğru ve güncel olmasını temin edecek kanalları açık tutmaktadır. |
| Belirli, Açık ve Meşru Amaçlarla İşleme | TOTDER, kişisel verilerin meşru işlenme amaçlarını kesin ve açıkça ortaya koymakta ve kişisel verileri belirlenen Dernek faaliyetleriyle bağlantılı amaçlar kapsamında işlemektedir. |
| İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma | TOTDER, kişisel verileri yalnızca Dernek faaliyetlerinin gerektirdiği nitelikte ve ölçüde toplamakta olup belirlenen amaçlarla bağlantılı, sınırlı ve ölçülü olarak işlemektedir. Bu kapsamda, kişisel veri işleme amacı, kişisel veri işleme faaliyetine başlanmadan önce belirlenmekte, ileride kullanılabileceği varsayımı ile veri işleme faaliyeti yürütülmemektedir. |
| İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç için Gerekli Olan Süre Kadar Muhafaza Etme | TOTDER, kişisel verileri ilgili yasal mevzuatta öngörülen süre kadar; böyle bir süre bulunmaması halinde ise işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. Bir verinin daha fazla saklanması için geçerli bir sebep bulunmaması; mevzuatta öngörülen saklama süresinin sona ermesi veya işleme amacının ortadan kalkması durumunda söz konusu kişisel veriler periyodik imha sürelerine veya veri sahibi başvurusuna uygun olarak silinir, yok edilir veya anonim hale getirilir. İleride kullanılma ihtimaline dayanılarak kişisel veriler saklanmamaktadır. Kişisel verilerin saklanması ve imhasına ilişkin prosedürler Derneğimiz Kişisel Veri Saklama ve İmha Politikası'nda ayrıntılı olarak düzenlenmektedir. |
3. KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASINA İLİŞKİN HUKUKİ YÜKÜMLÜLÜKLER
3.1. Veri Güvenliğinin Sağlanması Yükümlülüğü
TOTDER, veri sorumlusu sıfatıyla toplamış olduğu kişisel verilerin hukuka aykırı olarak işlenmesini, açıklanmasını, erişilmesini önlemek ve bunların hukuka uygun olarak saklanmasını sağlamak için mevzuatta belirlenmiş bulunan idari ve teknik tedbirleri almakta, gerekli denetim mekanizmalarını oluşturmaktadır. Veri güvenliğine ilişkin yükümlülükler ve alınan tedbirler işbu Politika'nın 11. bölümünde detaylandırılmaktadır.
3.2. Aydınlatma Yükümlülüğü
TOTDER, KVKK 10. maddesine ve ilgili mevzuata uygun biçimde kişisel veri sahiplerinin bilgilendirilmesini sağlamak için gerekli süreçleri yürütmekte ve veri sahiplerine sunulan aydınlatma metinlerinde aşağıda sıralanan bilgiler çerçevesinde onları aydınlatma yükümlülüğünü yerine getirmektedir;
- Veri sorumlusunun kimliği,
- Veri sahiplerinin kişisel verilerinin hangi amaçla işleneceği,
- İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
- Kişisel veri toplamanın yöntemi ve hukuki sebebi,
- İlgili Kişinin sahip olduğu haklar
4. KİŞİSEL VERİLERİN İŞLENME ŞARTLARI
TOTDER tarafından ilgili kişinin açık rızasının temin edilmesi dışında kişisel veri işleme faaliyetinin dayanağı KVKK madde 5'te belirtilen şartlardan en az biri olabileceği gibi birden fazla şart da veri işleme faaliyetin dayanağını oluşturabilir.
Buna göre yasal düzenleme çerçevesinde kişisel verilerin işlenme şartları;
- İlgili kişinin açık rızasının varlığı; TOTDER, yasal mevzuatta belirtilen işleme şartlarından herhangi birinin bulunmaması halinde, aydınlatma yükümlülüğünü yerine getirerek ilgili kişinin açık rızasını yazılı/basılı veya elektronik ortamlarda yer alan açık rıza metinleriyle almak suretiyle kişisel veri işleme faaliyetinde bulunmaktadır. Kişisel veri sahibinin açık rızası belirli bir konuya ilişkin, bilgilendirilmeye dayalı olarak ve özgür iradeyle açıklanmalıdır.
Kişisel veri sahibinin açık rızasına gerek kalmaksızın kişisel verilerinin işlenebileceği durumlar;
| Kanunlarda açıkça öngörülmesi | İlgili kanunda kişisel verilerin işlenmesine ilişkin açıkça bir hüküm olması halinde veri sahibinin kişisel verileri işlenebilecektir. |
| Fiili İmkânsızlık Sebebiyle İlgilinin Açık Rızasının Alınamaması | Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına geçerlilik tanınamayacak olan kişinin kendisinin ya da başka bir kişinin hayatı veya beden bütünlüğünü korumak için kişisel verisinin işlenmesinin zorunlu olması halinde veri sahibinin kişisel verileri açık rıza aranmaksızın işlenebilecektir. |
| Bir Sözleşmenin Kurulması veya İfasıyla Doğrudan Doğruya İlgili Olması Kaydıyla, Sözleşmenin Taraflarına Ait Kişisel Verilerin İşlenmesinin Gerekli Olması | İlgili kişinin taraf olduğu bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla ve sözleşme tarafı veri sahibinin kişisel verilerinin işlenmesinin gerekli olması halinde, bu amaçla sınırlı olmak üzere kişisel verileri açık rıza aranmaksızın işlenebilecektir. |
| TOTDER'in hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması | TOTDER'in hukuki yükümlülüklerini yerine getirmesi için işlemenin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir. |
| İlgili kişinin kendisi tarafından alenileştirilmiş olması | Veri sahibinin, kişisel verisini alenileştirmiş olması halinde ilgili kişisel veriler alenileştirme amacıyla sınırlı olarak işlenebilecektir. |
| Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması | Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir. |
| İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, TOTDER'in meşru menfaatleri için veri işlenmesinin zorunlu olması | Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla TOTDER'in meşru menfaatleri için veri işlemesinin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir. |
5. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENME ŞARTLARI
TOTDER tarafından özel nitelikli kişisel veriler, KVKK 6.maddesi ile mevzuata uygun olarak ve Kişisel Verileri Koruma Kurulu'nun belirlediği idari ve teknik tedbirler alınarak ve ilgili kişinin açık rızasının varlığı halinde veya mevzuatın zorunlu kıldığı hallerde işlenebilecektir.
6. İŞLENEN KİŞİSEL VERİLERE İLİŞKİN KATEGORİLER
TOTDER nezdinde, KVKK 5. ve 6. Maddesinde belirtilen kişisel veri işleme şartlarından en az birinin varlığı halinde, aydınlatmaya dayalı olarak ve kişisel veri işleme amaçlarımız doğrultusunda işlenen kişisel veri kategorileri, açıklama ve içerikleri ile veri sahipleri;
| Kişisel Veri Kategorisi | Açıklama ve İçerik | Veri Sahipleri |
|---|---|---|
| Kimlik Bilgileri | Kişinin kimliğinin belirlenmesine ilişkin verilerdir. İsim, soy isim, doğum tarihi ve yeri, T.C kimlik no, cinsiyet, medeni hal, uyruk bilgisi, TC kimlik kartı bilgileri, vergi numarası, pasaport bilgileri, kimlik fotokopisi v.b. bilgiler. | Dernek üyelerimiz, üye adaylarımız, çalışanlarımız, çalışan adaylarımız, kurs/ konferans/toplantı gibi etkinlik katılımcılarımız, dernek üyelerimiz, Dernek hizmet ve faaliyetlerinden yararlanmak için başvuranlar, hizmet alınan gerçek kişiler, satış yapılan gerçek kişiler, iş birliği yaptığımız üçüncü kişiler. |
| İletişim Bilgileri | İkametgâh/Çalışılan Kurum/İşyeri adres bilgileri, telefon numaraları, elektronik posta adresi, faks numarası veya diğer iletişim kanallarına ilişkin bilgiler | Dernek üyelerimiz, üye adaylarımız, çalışanlarımız çalışan adaylarımız, kurs/ konferans/toplantı gibi etkinlik katılımcılarımız, Dernek hizmet ve faaliyetlerinden yararlanmak için başvuranlar, hizmet alınan gerçek kişiler, satış yapılan gerçek kişiler, iş birliği yaptığımız üçüncü kişiler. |
| Finansal Bilgiler | Derneğimizin kişisel veri sahibi ile kurduğu hukuki ilişkinin niteliğine göre işlenmesi gereken bilgi, belge ve kayıtlara ilişkin işlenen kişisel veriler ile banka hesap numarası, IBAN numarası, kredi kartı bilgisi, gelir bilgisi gibi bilgiler | Dernek üyelerimiz, çalışanlarımız çalışan adaylarımız, kurs/ konferans/toplantı gibi etkinlikler için ödeme yapan katılımcılarımız, Dernek hizmet ve faaliyetlerinden yararlanmak için başvuranlar, hizmet alınan gerçek kişiler, satış yapılan gerçek kişiler, iş birliği yaptığımız üçüncü kişiler. |
| Aile Bireyleri ve Yakın Bilgisi | Veri sahibinin hukuki menfaatlerini korumak amacıyla kişisel veri sahibinin aile bireyleri (örneğin; eş, anne, baba, çocuk) ve yakınları hakkındaki kişisel veriler. | Dernek üyelerimiz, çalışanlarımız çalışan adaylarımız. |
| Özlük Bilgisi | Derneğimizle çalışma ilişkisi içerisinde olan gerçek kişilerin özlük haklarının oluşmasına temel olacak bilgilerin elde edilmesine yönelik işlenen her türlü kişisel veri. | Dernek çalışanlarımız. |
| Görsel ve İşitsel Veriler | Vesikalık fotoğraf; yasal düzenlemelerin olanak tanıdığı kapsamda toplantı ve etkinlik görsellerini oluşturan fotoğraflar, ses ve kamera kayıtları. | Dernek üyelerimiz, üye adaylarımız, çalışanlarımız çalışan adaylarımız, kurs/ konferans/toplantı gibi etkinlik katılımcılarımız. |
| Eğitim Verileri | Derneğimiz amaçları çerçevesinde yürüttüğü faaliyetleri kapsamında doldurulmuş/doldurulacak olan başvuru/etkinlik formlarında yer alan; okul/eğitim bilgileri; öğrenim durumu, sertifika ve diploma bilgileri, yabancı dil bilgileri, eğitim ve beceriler, gidilen seminer ve kurslar; yayınlar | Dernek üyelerimiz, üye adaylarımız, çalışanlarımız çalışan adaylarımız, kurs/ konferans/ toplantı gibi etkinlik katılımcılarımız, Dernek hizmet ve faaliyetlerinden yararlanmak için başvuranlar, hizmet alınan gerçek kişiler, satış yapılan gerçek kişiler, iş birliği yaptığımız üçüncü kişiler. |
| Mesleki Veriler | Uzmanlık alanı, unvanı, çalışılan kurum, | Dernek üyelerimiz, üye adaylarımız, çalışan adaylarımız, kurs/ konferans/toplantı gibi etkinlik katılımcılarımız, Dernek hizmet ve faaliyetlerinden yararlanmak için başvuranlar, hizmet alınan gerçek kişiler, satış yapılan gerçek kişiler, iş birliği yaptığımız üçüncü kişiler. |
| Özel Nitelikli Kişisel Veriler | Yasal zorunluluklar dışında, Derneğimizin doğrudan bu bilgileri işleme amacı olmamakla birlikte Derneğe iletilmiş olan kimlik belgesi ve fotoğraflar kapsamında dolaylı olarak edinilme ihtimali olan din, felsefi inanç, siyasi düşünce ve sağlık verileri (örneğin fotoğraftan anlaşılan kıyafet, cihaz ve protezler) ile başvuru formlarında ihtiyari olarak belirtilmiş dernek üyelikleri. | Dernek üyelerimiz, üye adaylarımız, çalışanlarımız çalışan adaylarımız, kurs/ konferans/toplantı gibi etkinlik katılımcılarımız, Dernek hizmet ve faaliyetlerinden yararlanmak için başvuranlar. |
| İşlem Güvenliği Bilgisi | Dernek faaliyetlerini yürütürken teknik, idari, hukuki ve ticari güvenliğimizin sağlanabilmesi için işlenen veriler. (web trafik verisi, log kayıtları gibi) | Çevrim içi ziyaretçiler. |
| Ziyaretçi işlem verisi | (web sayfası&app gezinti bilgisi) | Çevrim içi ziyaretçiler. |
| Hukuki İşlem ve Uyum Bilgisi | Hukuki hak ve alacakların belirlenmesi, takibi ve yükümlülüklerimizin ifası ile kanuni yükümlülüklerimiz ve Dernek politikalarına uyum kapsamında işlenen kişisel veriler. | |
| Talep/Şikâyet Yönetimi Bilgisi | Derneğimize iletilen her türlü talep ve şikayetlerin alınması, değerlendirilmesi ve sonuçlandırılmasına ilişkin kişisel veriler. | Talep ve şikayet tarafı |
| Diğer Veriler | İmza, referans bilgileri (öneren kişinin adı soyadı) | Dernek üyelerimiz, üye adaylarımız, çalışanlarımız, çalışan adaylarımız, kurs/ konferans/ toplantı gibi etkinlik katılımcılarımız, Dernek hizmet ve faaliyetlerinden yararlanmak için başvuranlar, hizmet alınan gerçek kişiler, satış yapılan gerçek kişiler, iş birliği yaptığımız üçüncü kişiler. |
7. KİŞİSEL VERİ İŞLEME AMAÇLARI
TOTDER olarak kişisel verileri genel olarak ve fakat bunlarla sınırlı olmamak üzere aşağıda sayılan ana amaçlarla işlenmektedir:
- Yasal mevzuat hükümleri çerçevesindeki hukuki yükümlülüklerin yerine getirilmesi,
- Dernek faaliyetlerinin planlanması ve yönetilmesi,
- Dernek üyelik başvuru ve değerlendirme süreçlerinin yürütülmesi,
- Üyelik takibinin yapılması ve aidatların ödenmesine ilişkin süreçlerin yönetilmesi,
- Kurumsal iletişim faaliyetlerinin planlanması ve yürütülmesi,
- Tedarikçiler ve diğer üçüncü kişiler ile olan ilişkilerin yürütülmesi,
- Dernek insan kaynakları politikaları ve süreçlerinin planlanması ve icra edilmesi,
- Etkinlik ve faaliyet katılımcı kayıtlarının oluşturulması ve yönetimi,
- Dernek İktisadi İşletmesi tarafından sunulan hizmetlere ilişkin süreçlerin yürütülmesi,
- Etkinlik organizasyon ve yönetimine ilişkin süreçlerin yürütülmesi,
- Her türlü talep ve şikâyet süreçlerinin yönetilmesi,
- Sözleşme süreçlerinin ve/veya hukuki taleplerin takibi,
- İstatistiksel çalışmalar yapılması,
- Finans ve muhasebe işlerinin yürütülmesi,
- Hizmetler karşılığında faturalandırma yapılması,
- Mevzuata aykırı ve yetkisiz işlemlerin izlenmesi ve engellenmesi,
- Bilgi ve bilişim güvenliğinin sağlanması,
- Dernek ile iş ilişkisinde bulunan gerçek ve tüzel kişilerle irtibat sağlanması,
- Acil durum yönetimi süreçlerinin planlanması ve icra edilmesi,
- Düzenleyici ve denetleyici kurumlarla, resmi mercilerin denetimleri doğrultusunda gerekli bilgilerin verilmesi.
TOTDER olarak kişisel verileri işleme amaçlarına; Aydınlatma Metinlerinde ayrıntılı olarak yer verilmekte olup; bu aydınlatma metinlerinde belirtilen veri işleme faaliyetlerinin KVKK 5. ve 6. Maddelerinde yer alan hukuka uygunluk şartlarından birini karşılamaması durumunda ilgili kişinin açık rızası alınmaktadır.
8. KİŞİSEL VERİLERİ TOPLAMA YÖNTEMLERİ VE HUKUKİ NEDENLERİ
Kişisel veriler; basılı ve elektronik formlar, sözleşmeler, bilgi sistemleri ve elektronik cihazlar, çevrimiçi platformlar ve bunlar tarafından yaratılan çerezler, üçüncü taraflarca yaratılan takip çerezleri ve ilgili kişi tarafından beyan edilen diğer belgeler vasıtasıyla toplanmaktadır.
Bu kapsamda söz konusu verilerin toplanmasının temel nedeni ilgili mevzuatlar olup; Derneğimizin çeşitli faaliyetleri kapsamında KVKK'nın 5/2(c) maddesi gereği bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, KVKK'nın 5/2(ç) maddesi gereği veri sorumlusu olan Derneğimizin hukuki yükümlülüklerini yerine getirebilmesi için zorunlu olması; Dernek faaliyetlerinin yürütülmesi amacıyla KVKK'nın 5/2(e) maddesi gereği hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ayrıca KVKK'nın 5/2(f) maddesi gereği yukarıda sayılan veri sahiplerinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Derneğin meşru menfaatleri için veri işlenmesinin zorunlu olması hukuki nedenleri kapsamında anılan kişisel veriler toplanmakta ve işlenmektedir.
9. KİŞİSEL VERİLERİN AKTARILMASI
TOTDER olarak, kişisel verilerin aktarılması konusunda KVKK'da öngörülen düzenlemelere ve KVK Kurulu tarafından alınan kararlara uygun hareket edilmektedir.
TOTDER Tarafından Kişisel Verilerin Aktarıldığı Üçüncü Kişiler
Kişisel veriler işbu Politika'da belirtilen kurallar kapsamında yurt içinde aşağıda listelenen kişi kategorilerine aktarılabilir:
- TOTDER yetkilileri,
- TOTDER tedarikçileri,
- Hukuken yetkili kamu kurum ve kuruluşları,
- Hukuken yetkili özel hukuk kişileri,
| Kişi Kategorisi | Açıklama | Aktarım Amacı |
|---|---|---|
| TOTDER yetkilileri | Dernek ve Derneğe bağlı iktisadi işletme yetkililerini ifade eder. | Dernek ve Dernek iktisadi işletmesinin faaliyetlerinin planlanması, yürütülmesi, denetlenmesi ve taleplerin karşılanması amaçlarıyla |
| TOTDER tedarikçileri | TOTDER'in ihtiyaçları doğrultusunda ve talimatlarına uygun olarak sözleşme karşılığı TOTDER'e hizmet sunan tarafları ifade eder. | Tedarikçiden temin edilecek hizmetin yerine getirilmesi amacıyla |
| Hukuken yetkili kamu kurum ve kuruluşları | İlgili yasal düzenlemeler kapsamında TOTDER'den bilgi ve belge almaya yetkili kamu kurum ve kuruluşlarını ifade eder. | Yasal düzenlemenin öngördüğü amaçlarla ve ilgili kamu kurum ve kuruluşlarının bilgi talep etme amacıyla sınırlı olarak kişisel veri paylaşımı |
| Hukuken yetkili özel hukuk kişileri | Yasal düzenlemeler çerçevesinde TOTDER'den bilgi ve belge almaya yetkili özel hukuk kişilerini ifade eder. | İlgili özel hukuk kişilerinin hukuki yetkisi dahilinde talep ettiği ve yasal düzenlemenin öngördüğü amaçlarla sınırlı olarak verilerin paylaşımı |
10. KİŞİSEL VERİLERİN SAKLANMASI VE İMHASI
Derneğimiz, kişisel verileri işlendikleri amaç için gerekli olan süre ve ilgili yasal mevzuatta öngörülen süre kadar muhafaza etmektedir. Kanunlarda ve sair mevzuatta öngörülen bir saklama süresi bulunmuyorsa, kişisel veriler Derneğimizin Kişisel Veri Saklama ve İmha Politikası'na uygun olarak, o kişisel veriyi işleme amacının gerçekleşmesi için gereken süre kadar saklanmakta, daha sonra periyodik imha süreleri çerçevesinde silinmekte, yok edilmekte veya anonim hale getirilmektedir.
11. KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN ALINAN TEDBİRLER
TOTDER tarafından, KVKK 12. maddesine uygun olarak, işlemekte olduğu kişisel verilerin hukuka aykırı olarak işlenmesini ve erişilmesi önlemek; verilerin muhafazasını sağlamak ve zarar görmesini önlemek için olanaklar dahilinde uygun ve makul teknik ve idari tedbirleri alınmakta olup; ortaya çıkacak gereklilikler kapsamında yeni idari ve teknik tedbirler de alınması sağlanacaktır.
Kişisel verilerin, işlenme ilkelerine uygun olarak işlenmesinin temin edilmesi kapsamında aşağıda sayılan teknik ve idari tedbirleri alınmakta; gerekli denetimler yapılmakta veya yaptırılmaktadır.
11.1. Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak ve Kişisel Verilere Hukuka Aykırı Erişilmesini Önlemek için Alınan İdari Tedbirler
- Dernek faaliyet süreçlerinin KVKK ve ilgili ikincil düzenlemelere uyumlu hale getirilmesi için gereken uygulamaların tespit edilerek iç politikalarla düzenlenmesi ve periyodik olarak gözden geçirilerek gerektiğinde güncellenmesi,
- Kişisel Verilere erişim yetkisi bulunanlar başta olmak üzere tüm çalışanların kişisel verilerin korunması konusundaki görev ve sorumlulukları ile ilgili olarak bilgilendirilmesi için gerekli aksiyonların alınması,
- Çalışanlar için kişisel verilerin korunması hakkında eğitim çalışması yapılarak farkındalık kazanmalarının sağlanması,
- Tüm üçüncü taraf ve çalışanlarla yapılan sözleşmelere kişisel verilerin korunmasına ilişkin hükümlerin eklenmesi veya ek sözleşmeler yapılması,
- Kişisel verilerin aktarıma konu olduğu durumlarda, kişisel verilerin aktarıldığı kişiler ile akdedilmiş olan sözleşmelere, kişisel verilerin aktarıldığı tarafın veri güvenliğini sağlamaya yönelik yükümlülükleri yerine getireceğine ilişkin kayıtların eklenmesi,
- Veri envanteri ile veri işleme şartlarının hangi durumlarda gerçekleştiğinin tespiti,
- Veri minimizasyonunun sağlanması,
- Veri saklama sürelerinin tespit edilmesi
- Kişisel Veri işleme faaliyetlerinin iş birimi bazında takibinin yapılması,
- Kişisel veri işlemeye başlamadan önce Derneğimiz tarafından, ilgili kişileri aydınlatma yükümlülüğünün yerine getirilmesi,
- KVKK yükümlülüklerine uyumun periyodik olarak denetlenmesi
- Özel Nitelikli Kişisel Verilere erişimin daha katı önlemlere tabi tutulması,
11.2. Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak ve Kişisel Verilere Hukuka Aykırı Erişilmesini Önlemek İçin Alınan Teknik Tedbirler
- Kişisel verilere erişimlerin kayıt altına alınması
- Erişim yetki kısıtlamalarının öngörülmesi,
- TOTDER internet sitesinde, ilgili kişilerin kişisel verileri ile ilgili başvurularının alınması amacıyla gerekli yönlendirmelerin yapılması,
- Sistem güvenliğine yönelik süreçlerin geliştirilmesi
- Virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılımlar ve donanımların kurulması,
- Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliğinin sağlanması,
- Erişim log kayıtlarının kullanıcı müdahalesi olmayacak şekilde tutulması,
- Sistem güvenliğine yönelik süreçlerin geliştirilmesi,
- Veri yedeklemelerinin yapılması
- Alınan önlemler konusunda düzenli denetim yapılması,
- Teknik konularda gerektiğinde uzman danışmanlardan destek alınması,
- Kişisel verilerin korunmasına ilişkin olarak, teknolojinin imkân verdiği ölçüde ve makul teknik önlemler alınması, güncellenmesi ve iyileştirilmesi.
11.3. Kişisel Verilerin Hukuka Aykırı olarak İfşası Durumunda Alınacak Tedbirler
TOTDER tarafından yürütülen kişisel veri işleme faaliyeti kapsamında, kişisel verilerin hukuka aykırı olarak yetkisiz kimseler tarafından elde edildiğinin tespit edildiği durumlarda, vakit kaybedilmeksizin durum Kurul'a ve ilgili veri sahiplerine bildirilecektir.
12. KİŞİSEL VERİ SAHİPLERİNİN HAKLARI VE BU HAKLARIN KULLANILMASI
12.1. Kişisel Veri Sahibinin Hakları
Kişisel veri sahipleri KVKK madde 11 uyarınca kişisel verilerine ilişkin olarak aşağıda yer alan haklara sahiptirler;
- TOTDER tarafından kişisel verilerinin işlenip işlenmediğini öğrenme,
- Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
- Kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
- Yurt içinde veya yurt dışında kişisel verilerinin aktarıldığı üçüncü kişileri bilme,
- Kişisel verilerinin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemlerin kişisel verilerinin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- KVKK ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerinin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemlerin kişisel verilerinin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- TOTDER tarafından işlenen verilerinin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
- Kişisel verilerinin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.
12.2. Mevzuat Gereği Başvuru Hakkı Kapsamı Dışında Kalan Durumlar
KVK Kanunu'nun 28. maddesi uyarınca, aşağıdaki haller KVK Kanun'u kapsamı dışında tutulduğundan kişisel veri sahiplerinin başvuru haklarını ileri sürmeleri mümkün olmayacaktır:
- Kişisel verilerinin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.
- Kişisel verilerinin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.
- Kişisel verilerinin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.
- Kişisel verilerinin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.
KVK Kanunu'nun 28. maddesinin 2. fıkrası uyarınca, zararın giderilmesini talep etme hakkı hariç olmak üzere, aşağıdaki durumlarda da hakların ileri sürülebilmesi mümkün değildir:
- Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması,
- İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi,
- Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturması veya kovuşturma için gerekli olması,
- Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.
12.3. Kişisel Veri Sahibinin Haklarını Kullanması
Kişisel veri sahipleri, Kişisel Verileri Koruma Kurulu'nun belirlediği diğer yöntemler saklı kalmak üzere, kişisel verilerine ilişkin hak taleplerini, kimliklerini doğrulayıcı belgelerle (nüfus cüzdanı kopyası vb.) totder@totder.org.tr elektronik posta adresine elektronik postayla veya "Mevlanakapı, Bıçkı Sk. No:21/7 Fatih/İstanbul" adresine noter vasıtasıyla ya da elden iletebileceklerdir.
Veri sahipleri, "Veri Sahibi Başvuru Formu"na Derneğimizin www.totder.org.tr adresli internet sitesinden ulaşabilirler.
Başvuru sırasında veya başvuru değerlendirilirken ek bilgi ve belge talep edilmesi söz konusu olabilir.
Kişisel veri sahibinin, Politikanın 13.1. maddesinde yer alan haklara ilişkin talebini usule uygun olarak iletmesi durumunda, TOBİD talebin niteliğine göre en kısa sürede ve en geç 30 (otuz) gün içinde ilgili talebi ücretsiz olarak sonuçlandıracaktır. Ancak, işlemin ayrıca bir maliyet gerektirmesi halinde, Kurul tarafından belirlenen tarife uyarınca ücret alınabilecektir.
Derneğimiz, Başvuru Sahibi'ne yazılı olarak veya elektronik ortamda vereceği cevapla başvuruyu kabul edebileceği gibi; kişisel veri sahibinin başvurusu aşağıda belirtilen durumlarda gerekçesi açıklanarak reddedilebilecektir:
- Diğer kişilerin hak ve özgürlüklerini engellemesi
- Orantısız çaba gerektirmesi
- Başvurunun haklı bir nedene dayanmaması
- Başvurunun ilgili mevzuata aykırı bir istek içermesi
- Başvuru usulüne uyulmaması
- Bilginin kamuya açık bir bilgi olması
- Başkalarının gizliliğini tehlikeye atması
- KVKK uyarınca kapsam dışında kalan hallerden birinin mevcut olması
13. POLİTİKANIN YÜRÜRLÜĞÜ VE GÜNCELLENMESİ
TOTDER Yönetim Kurulu tarafından onaylandığı andan itibaren yürürlüğe giren işbu Politika herhangi bir bildirimde bulunulmaksızın, yılda en az bir kez gözden geçirilir ve ihtiyaç halinde gerekli olan bölümler güncellenir.