KVKK Veri Politikamız

İZMİR SERBEST BÖLGE KURUCU VE İŞLETİCİSİ A.Ş.

KİŞİSEL VERİLERİN İŞLENMESİ KORUNMASI SAKLANMASI VE İMHA POLİTİKASI

 

İçindekiler

1. GİRİŞ 

2.AMAÇ VE KAPSAM 

3. POLİTİKANIN YÜRÜRLÜĞÜ 

4. TANIMLAR

5. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN HUSUSLAR

5.1. Kişisel Verilerin İşlenmesindeki Genel İlkeler

5.1.1. Hukuka ve Dürüstlük Kurallarına Uygun Olunması

5.1.2. Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama

5.1.3. Belirli, Açık ve Meşru Amaçlarla İşleme

5.1.4. İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma

5.1.5. İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Etme

5.1.6. Kişisel Verileri İşleme Amaçları

5.2. Kişisel Verilerin Kategorizasyonu

5.3. Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi

5.4. Kişisel Verinin Aktarılması

5.4.1. Kişisel Verinin Aktarıldığı Üçüncü Kişiler ve Aktarılma Amaçları

5.5. Aydınlatma Yükümlülüğü

6. KİŞİSEL VERİLERİN GÜVENLİĞİNİN SAĞLANMASI 9

6.1. Teknik Tedbirler

6.2. İdari Tedbirler

6.3. Kişisel Verilerin Korunması Konusunda Alınan Tedbirlerin Denetimi

7. VERİ SAHİBİNİN HAKLARININ GÖZETİLMESİ 11

7.1. Kişisel Veri Sahibinin Haklarını İleri Süremeyeceği Haller

7.2. Kişisel Veri Sahibinin Haklarını Kullanması

8.KURUM TESİSİ, BİNA GİRİŞLERİ İLE BİNALAR İÇERİSİNDE YAPILAN KİŞİSEL VERİ İŞLEME FAALİYETLERİ

9. KURUM BİNASINDA, TESİS GİRİŞLERİNDE VE İÇERİSİNDE YÜRÜTÜLEN MİSAFİR GİRİŞ ÇIKIŞLARININ TAKİBİ

10. KURUM TESİSLERİNDE ZİYARETÇİLERE SAĞLANAN İNTERNET ERİŞİMLERİNE İLİŞKİN KAYITLARIN SAKLANMASI

11. KİŞİSEL VERİLERİN SAKLANMA SÜRELERİ

12. KURUM KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI’NIN DİĞER POLİTİKALARLA OLAN İLİŞKİSİ

13 .GÜNCELLEME VE DEĞİŞİKLİKLER




1. GİRİŞ

İzmir Serbest Bölge Kurucu Ve İşleticisi A.Ş. (kısaca “İZBAŞ”), TBMM tarafından, 24 Mart 2016 tarihinde kabul edilen ve 7 Nisan 2016 tarihinde Resmi Gazete’de yayımlanarak yürürlüğe giren 6698 sayılı Kişisel Verilerin Kanunu ve bu kanunun uygulamasına yönelik diğer düzenlemelere tam uyumun sağlanması için gerekli  olan hassasiyeti en üst düzeyde göstermekte olup konunun toplum üzerindeki etkilerini de dikkate alarak hareket etmektedir. 

Bu Kanun nezdinde Veri Sorumlusu sıfatına haiz İZBAŞ nezdinde işlenen Kişisel Verilerin işlenmesinden imhasına kadar olan süreçlerin düzenlendiği bu Politika’yı hazırlamıştır.   

Bu Politika’da kişisel verilerin işlenmesi süreçleri için İzmir Serbest Bölge Kurucu Ve İşleticisi A.Ş.’nin benimsediği, aşağıda belirtilen temel prensipler açıklanmaktadır; 

  • Kişisel verilerin rıza kapsamında işlenmesi,
  • Kişisel verilerin hukuka ve dürüstlük kurallarına uygun işlenmesi,
  • Kişisel verileri doğru ve gerektiğinde güncel tutma,
  • Kişisel verileri belirli, açık ve meşru amaçlar için işleme,
  • Kişisel verileri işlendikleri amaçla bağlantılı, sınırlı ve ölçülü işleme,
  • Kişisel verileri ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etme,
  • Kişisel veri sahiplerini aydınlatma ve bilgilendirme,
  • Kişisel veri sahiplerinin haklarını kullanması için gerekli altyapıyı oluşturma, Kişisel verilerin korunması için gerekli tedbirleri alma,
  • Kişisel verilerin işleme amaçlarının tespit ve uygulamasında, üçüncü kişilere aktarılması/paylaşılmasında, ilgili mevzuata ve KVK Kurulu    düzenlemelerine uygun davranma,
  • Özel nitelikli kişisel verilerin işleme ve koruma hususlarının özel olarak düzenlenmesi

 

2. AMAÇ VE KAPSAM

Kanun kapsamında kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerinin korunması ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esaslar düzenlenmiştir.

Söz konusu düzenleme dikkate alınarak hazırlanan işbu İzmir Serbest Bölge Kurucu Ve İşleticisi A.Ş., Kişisel Verilerin Korunması ve İşlenmesi Politikası’nın amacı, kişisel verilerin korunması hakkındaki düzenlemelere ilişkin yükümlülüklere uyumun sağlanması, İZBAŞ’ın gerçekleştirdiği faaliyetler kapsamında temin edilen bilgilerin işlenmesi ve gizliliğinin korunması ile ilgili hususların risk temelli bir yaklaşımla değerlendirilerek, stratejilerin, kurum içi kontrol ve önlemlerin, işleyiş kurallarının ve sorumlulukların belirlenmesi ile kişisel veri sahiplerinin ve İZBAŞ çalışanlarının bilinçlendirilmesidir.

İşbu Politika, kurum içinde değerlendirilir ve uygulanır. Bu kapsamda işbu Politika’nın kapsamını İZBAŞ Ziyaretçi, Tedarikçi, Kurumsal Müşteri yetkili ve çalışanlarından, Serbest Bölge Müdürlüğü yetkili ve çalışanları ile İZBAŞ Çalışan Adayı, Çalışan Yakınları, Çalışanlarının kişisel verilerinin korunması ve işlenmesi oluşturulmaktadır.

İşbu Politika çerçevesinde İZBAŞ bünyesinde gerçekleştirilecek tüm faaliyetler ve alınacak önlemler ile ilgili prosedürler belirlenir. Söz konusu prosedürlerin hazırlanması, koşullara uygun olarak değiştirilmesi ve uygulamaya konulması İzmir Serbest Bölge Kurucu Ve İşleticisi A.Ş. Yönetim Kurulu’nun yetkilendireceği birimin yetki ve sorumluluğundadır. İZBAŞ bünyesindeki tüm yetkililer görevlerini yerine getirirken işbu Politika’ya ve ilgili tüm mevzuata riayet etmekle yükümlüdür.

 

3.POLİTİKANIN YÜRÜRLÜĞÜ 

Bu Politika İzmir Serbest Bölge Kurucu Ve İşleticisi A.Ş.’nin internet sitesinde (www.izbas.net) yayımlanır ve kişisel veri sahiplerinin talebi üzerine ilgili kişilerin erişimine sunulur.

 

4. TANIMLAR

İşbu Politika’da içerik aksini gerektirmedikçe:

 

“Açık Rıza”

Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür

iradeyle açıklanan rıza,

“Anayasa”

Türkiye Cumhuriyeti Anayasası

“Kurum”

İzmir Serbest Bölge Kurucu Ve İşleticisi A.Ş.

“Kişisel Veri”

Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi (örn. Ad-soyad, TCKN, e-posta, adresi, doğum tarihi, kredi kartı numarası, banka hesap numarası -

Dolayısıyla tüzel kişilere ilişkin bilgilerin işlenmesi Kanun kapsamında değildir).

“Kişisel Veri Sahibi”

Kişisel verisi işlenen gerçek kişi

“Kişisel Verilerin İşlenmesi”

Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde

gerçekleştirilen her türlü işlem,

“Özel Nitelikli Kişisel Veri”

Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik

tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler,

“Veri Sorumlusu”

Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, verilerin sistematik bir şekilde tutulduğu yeri (veri kayıt

sistemi) yöneten kişi,

anlamına gelmektedir.

 

5. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN HUSUSLAR

5.1. Kişisel Verilerin İşlenmesindeki Genel İlkeler 

İZBAŞ, Anayasa’nın 20. maddesine ve Kanunu’nun 4. maddesine uygun olarak, kişisel verilerin işlenmesi konusunda; hukuka ve dürüstlük kurallarına uygun; doğru ve gerektiğinde güncel; belirli, açık ve meşru amaçlar güderek; amaçla bağlantılı, sınırlı ve ölçülü bir biçimde kişisel veri işleme faaliyetinde bulunmaktadır. Kurum kanunlarda öngörülen veya kişisel veri işleme amacının gerektirdiği süre kadar kişisel verileri muhafaza etmektedir. İZBAŞ, Çalışan Adayı, Çalışan Yakınları, Çalışan, Kurumsal Müşteri Yetkilisi ve Çalışanı, Tedarikçi,  Tedarikçi Yetkilisi ve Çalışan, Ziyaretçi, Serbest Bölge Müdürlüğü Yetkili ve Görevlilerine ait kişisel bilgileri; (kimlik bilgileri - Ad Soyad, Doğum Tarihi, T.C. Kimlik No, Nüfus Cüzdanı Seri No,  Medeni Hali, Anne Baba Adı, İmza, Pasaport No,  Aile Bireylerinin Adı Soyadı, Yakınlık Derecesi, Doğum yeri, Öğrenim Durumu, Cinsiyeti, Uyruğu; Sağlık Bilgileri - Kimlikte Yer Alan Kan Grubu Bilgisi, Engellilik Durumu, Kişisel Sağlık Bilgileri; Özlük Bilgileri - Özgeçmiş Bilgileri, Bordro Bilgileri, Eğitim Öğrenim Bilgileri, İşe Giriş Çıkış Belgesi Kayıtları, İzin Bilgisi, Performans Değerlendirme Raporları; İletişim Bilgileri - Telefon No, İletişim Adresi, E-Posta Adresi, Adres No,  Aile Bireylerinin Adresi, Numarası; Mesleki Deneyim - Diploma Bilgileri, Meslek İçi Eğitim Bilgileri, Sertifikalar, Gidilen Kurslar; Fiziksel Mekan Güvenliği - Kamera Kayıtları; İşlem Güvenliği - IP Adresi Bilgileri, İnternet Sitesi Giriş Çıkış Bilgileri, Şifre ve Parola,  Çerezler; Müşteri İşlem Bilgileri - Sipariş Bilgisi, Talep Bilgisi; Finansal Bilgiler -Banka Bilgileri, Iban Bilgisi, Bilanço Bilgileri, Çek Bilgileri, Fatura, Finansal Performans, Kredi ve Risk Bilgileri, Senet gibi kişisel verileri) işlenmekte ve bu verileri işlerken, burada sayılan kişisel veri sahiplerinin İzmir Serbest Bölge Kurucu Ve İşleticisi A.Ş. hizmetlerinden etkin yararlanabilmesi ve hizmet çeşitliliğinin geliştirilebilmesi ile Çalışan istihdamı, İşe alım süreci, Maaş Ödemeleri, Mal/hizmet tedariki, Müşteri geri bildirimi alınması, Müşteri iletişimin sağlanması, Özlük dosyası oluşturma, Pasavan İşlemleri, Taşeron Çalışan Özlük Dosyası Oluşturma, Teknik risklerin yönetilmesi, Ticari risk analizi, Serbest Bölge çatısı altında satın alma, satış, hizmet sunumu, kiralama faaliyetleri çerçevesinde işlemektedir.

Kurumu, Kanunu’nun 10. maddesine uygun olarak veri sahiplerini aydınlatmaktadır ve rıza alınması gereken durumlarda veri sahiplerinden rızalarını talep etmekte; bu kişisel verileri aşağıda belirtilen kriterleri esas alarak işlemektedir.

 

5.1.1. Hukuka ve Dürüstlük Kurallarına Uygun Olunması

Kurum, basiretli bir tacir olarak, kişisel verilerin işlenmesinde hukuksal düzenlemelerle getirilen ilkeler ile hukuka ve dürüstlük kuralına uygun hareket etmektedir.

 

5.1.2. Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama

 Kişisel verilerin doğru ve güncel bir şekilde tutulması, Kurum açısından ilgili kişinin temel hak ve özgürlüklerinin korunması açısından gereklidir. Kişisel verilerin doğru ve gerektiğinde güncel olmasının sağlanması noktasında Kurum’un aktif özen yükümlülüğü bulunmaktadır. Bu sebeple Kurum tarafından veri sahibi olan ilgili kişinin bilgilerinin doğru ve güncel olarak tutulması için bütün iletişim kanalları açıktır.

 

5.1.3. Belirli, Açık ve Meşru Amaçlarla İşleme

Kurum, meşru ve hukuka uygun olan kişisel veri işleme amaçlarını açık ve kesin olarak belirlenmektedir. Bu kapsamda kişisel veriler, Kurum tarafından sunulmakta ya da sunulacak ürün ve/veya hizmetler ve yasal yükümlülükleri ile sınırlı olarak işlenmektedir. Bu kapsamda,

kişisel verilerin hangi amaçlarla işleneceği henüz kişisel veri işleme faaliyeti başlamadan ortaya konulmaktadır.

 

5.1.4. İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma

Kurum, kişisel verileri belirlenen amaçların gerçekleştirilmesine elverişli bir biçimde işlemekte ve söz konusu amaçların gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınmaktadır. Bu doğrultuda kişisel verilerin işlenmesi faaliyetler ve yasal yükümlülükler ile sınırlıdır.

 

5.1.5. İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Etme 

Kurum, kişisel verileri ancak ilgili uymakla yükümlü olduğu mevzuatta belirtildiği veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir.

 

5.1.6. Kişisel Verileri İşleme Amaçları

İZBAŞ, KVKK’nın 4. maddesine uygun olarak, kişisel verileri işlendikleri amaçla bağlantılı, sınırlı ve ölçülü bir biçimde işlemektedir. Bu doğrultuda Kişisel Verileri İşleme Amacı kategorizasyonu aşağıdaki tabloda gösterilmektedir; 

 

İşleme Amacı Kategorizasyonu

Açıklama

Finans Ve Muhasebe İşlerinin Yürütülmesi, 

İş Faaliyetlerinin Yürütülmesi / Denetimi ,

İş Süreçlerinin İyileştirilmesine Yönelik Önerilerin Alınması,

Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi, 

Mal / Hizmet Satış Sonrası Destek Hizmetlerinin Yürütülmesi, 

Mal / Hizmet Üretim Ve Operasyon Süreçlerinin Yürütülmesi, 

Sözleşme Süreçlerinin Yürütülmesi

Kuruluş ve Faaliyet amaçlarına uygun olarak Serbest Bölge içinde Hizmetlerin sunulması temel olmak üzere Serbest Bölge çatısı altında satın alma, satış, hizmet sunumu, kiralama işlemlerine bağlı iş süreçlerinin planlanması ve yürütülmesi,

Kurumsal Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi, Sözleşme Süreçlerinin Yürütülmesi,

Şirketin ticari, finansal ve/veya iş stratejilerinin planlanması ve/veya icrası, 

Şirketin ve Şirket ile iş ilişkisi içerisinde olan kişi ve kuruluşların ticari, hukuki veya teknik güvenliği ile iş sürekliliğinin temini,

Çalışan Adayı / Stajyer / Öğrenci Seçme Ve Yerleştirme Süreçlerinin Yürütülmesi, 

Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi, 

Çalışan Memnuniyeti Ve Bağlılığı Süreçlerinin Yürütülmesi, 

Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi, 

Çalışanlar İçin Yan Haklar ve Menfaatleri Süreçlerinin Yürütülmesi

Eğitim Faaliyetlerinin Yürütülmesi,

Görevlendirme Süreçlerinin Yürütülmesi,

İnsan Kaynakları Süreçlerinin Planlanması,

Ücret Politikasının Yürütülmesi, 

Yetenek / Kariyer Gelişimi Faaliyetlerinin Yürütülmesi,


Şirketin İnsan Kaynakları/İstihdam Politikalarının yürütülmesi, 


İşe Alım ve İstihdam süreçlerinin planlanması ve yürütülmesi, 

İletişim Faaliyetlerinin Yürütülmesi, 

Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi, 

Talep/Şikayetlerin Takibi,

Hizmetlerin sunulması ile ilgili bilgilendirmeler başta olmak üzere iletişim faaliyetlerinin yürütülmesi,

Talep ve şikayetlerin takibi,

Sunulan hizmetlerin kalitesinin artırılması,

Acil Durum Yönetimi Süreçlerinin Yürütülmesi, 

Bilgi Güvenliği Süreçlerinin Yürütülmesi,

Denetim/Etik Faaliyetlerinin Yürütülmesi, 

İç Denetim/ Soruşturma / İstihbarat Faaliyetlerinin Yürütülmesi,

Acil Durum Yönetimi Süreçlerinin Yürütülmesi, 

Bilgi Güvenliği Süreçlerinin Yürütülmesi

Denetim/Etik Faaliyetlerinin Yürütülmesi

Fiziksel Mekân Güvenliğinin Temini,

Veri Sorumlusu Operasyonlarının Güvenliğinin Temini,

Ziyaretçi Kayıtlarının Oluşturulması ve Takibi

Kamera Kaydı ile Fiziksel Mekân Güvenliğinin Temini, 

Ziyaretçi Kayıtlarının Oluşturulması ve Takibi

Faaliyetlerin Mevzuata Uygun Yürütülmesi,

Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi,  

Saklama ve Arşiv Faaliyetlerinin Yürütülmesi,

Faaliyetlerin Mevzuata Uygun Yürütülmesi, 

Yetkili kişi, kurum ve kuruluşlara kanundan kaynaklanan yükümlülüklerin icrası için bilgi verilmesi

 

Diğer taraftan Kanun’un 6.maddesinde, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski taşıyan bir takım kişisel veriler “ özel nitelikli” olarak belirlenmiştir. Bu veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir.

Kurum tarafından, Kanun ile “özel nitelikli” olarak belirlenen ve hukuka uygun olarak işlenen özel nitelikli kişisel verilerin korunmasında hassasiyetle davranılmaktadır. Bu kapsamda, Kurum tarafından, kişisel verilerin korunması için alınan teknik ve idari tedbirler, özel nitelikli kişisel veriler bakımından özenle uygulanmakta ve Kurum bünyesinde gerekli denetimler sağlanmaktadır.

Bu kapsamda, Kurum bünyesinde çalışanların iş sağlığı hükümleri ereğince sağlık  verileri işlenmekte olup bu özel nitelikli kişisel verilere erişebilen personel işyeri hekimi olarak belirlenmiştir. Sağlık verisi dışında sabıka kaydı gibi özel nitelikli veriler ise sadece erişim yetkisi olan personel tarafından tutulmakta ve bu personel gerekli eğitimler verilmekte, bu personelin erişim yetkisi kapsam ve süreleri belirlenmekte ve periyodik olarak denetimler yapılmakta ve gizlilik sözleşmeleri imzalanmaktadır. İlgili personelin işten ayrılması durumunda erişim yetkisi derhal kaldırılmaktadır.

Çalışanların sağlık dosyalarında fiziki olarak saklanan kişisel sağlık verilerinin bulunduğu fiziki dosyalar kilitli ve sadece işyeri hekiminin erişebildiği alanlarda saklanmaktadır. Çalışanların sağlık verilerine işyeri hekimi dışında hiçbir birim erişememektedir.

 

5.2. Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi

Kanun ve diğer mevzuat hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kaldırılması halinde kişisel veriler re’sen veya ilgili kişinin talebi üzerine Kurumumuz tarafından silinir, yok edilir veya anonim hale getirilir. Kurum bu konuda yönetmelik hükümlerine göre bir Politika oluşturulup ve bu Politika uyarınca verinin niteliğine göre imha yapılacaktır. Bu yönetmelik uyarınca Kurum tarafından periyodik imha tarihleri belirlenip, yükümlülüğün başlaması ile beraber çeşitli aralıklarla periyodik imhanın yapılacağına göre takvim ve prosedür oluşturulacaktır.

Kişisel Veriler’in silinmesi ile bu veriler tekrar hiçbir şekilde kullanılamayacak ve geri getirilemeyecek şekilde imha edilir. Buna göre Kişisel Veriler, kayıtlı oldukları evrak, dosya, CD, disket, hard disk gibi araçlardan geri dönüştürülemeyecek şekilde silinir. Kişisel Veriler’in yok edilmesi ise, bilgilerin tekrar geri getirilemeyecek ve kullanılamayacak şekilde, verilerin kaydedildiği evrak, dosya, CD, disket, hard disk gibi veri saklamaya elverişli materyallerin yok edilmesini ifade etmektedir. Verilerin anonim hale getirilmesiyle, Kişisel Veriler’in başka verilerle eşleştirilse dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi kastedilmektedir. 

 

5.3. Kişisel Verinin Aktarılması

Kurumumuz tarafından kişisel veriler ve özel nitelikli kişisel veriler kişisel veri sahibinin açık rızasına dayalı olarak veya Kanun’un 5. maddesinin 2. fıkrasında ve yeterli önlemleri almak kaydıyla 6. maddesinin 3. fıkrasında belirtilen amaç ve şartlar kapsamında yurtiçine aktarılmaktadır.

Kurum tarafından; KVK Kurulu'nca yeterli korumaya sahip olduğu ilan edilen yabancı ülkelere veya yeterli korumanın bulunmaması durumunda, Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt ettiği ve KVK Kurulu’nun izninin bulunduğu yabancı ülkelere kişisel veriler paylaşacak olursa, paylaşım sebepleri aşağıda açıklanmıştır:

  • Kanunlarda kişisel verinin paylaşılabileceğine ilişkin açık bir düzenleme var ise,
  • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verinin paylaşılması gerekli ise,
  • Kurum’un hukuki yükümlülüğünü yerine getirmesi için kişisel veri paylaşımı zorunlu i se,
  • Kişisel veri paylaşımı bir hakkın tesisi, kullanılması veya korunması için zorunlu ise,
  • Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Kurum’un meşru menfaatleri için kişisel veri paylaşımı zorunlu ise.

 

5.3.1. Kişisel Verinin Aktarıldığı Üçüncü Kişiler ve Aktarılma Amaçları 

Kurum, Kanunu’nun 10. maddesine uygun olarak kişisel verilerin aktarıldığı kişi gruplarını kişisel veri sahibine bildirmektedir.

Kurum, KVK Kanunu’nun 8. ve 9. maddelerine uygun olarak işbu Politika ile yönetilen veri       sahiplerinin kişisel verilerini, Hukuken yetkili kamu kurum ve kuruluşlarına, İlgili kamu/özel kurum ve kuruluşların hukuki yetkisi dâhilinde ve hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması ve ilgili kişi için hizmet sunulması amaçları ile sınırlı olarak aktarılmaktadır.

 

5.4. Aydınlatma Yükümlülüğü

Anayasa’da herkesin, kendisiyle ilgili kişisel veriler hakkında bilgilendirilme hakkına sahip olduğu ortaya konulmuştur. Bu doğrultuda Kanunun 11’inci maddesinde kişisel veri sahibinin hakları arasında “bilgi talep etme” de sayılmıştır. Kurumumuz bu kapsamda, Kanun’un 10’uncu maddesine uygun olarak, kişisel verilerin elde edilmesi sırasında kişisel veri sahiplerine Kurumumuzun kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ve Kanunun 11’inci maddesi kapsamında sahip olduğu haklarla ilgili aydınlatma yapmaktadır.

Yanı sıra Kurumumuz kişisel veri sahipleri ile ilgililere işbu Politika başta olmak üzere çeşitli kamuoyuna açık dokümanlarla veri işleme faaliyetlerini ilgili mevzuata uygun şekilde gerçekleştirdiğini duyurarak, kişisel veri işleme faaliyetlerinde ilgililere bilgilendirmeyi ve şeffaflığı sağlamaktadır.

 

6. KİŞİSEL VERİLERİN GÜVENLİĞİNİN SAĞLANMASI

Kurumumuz veri güvenliğinin sağlanması konusunda azami dikkat ve özeni göstermekte olup iş bu kapsamda Kanun’un 12’inci maddesi uyarınca “veri güvenliğini” sağlamaya yönelik aşağıda belirtilen hususlar ile ilgili gerekli tedbirler alınmaktadır.

  • Kurum:
  • Kişisel verilerin hukuka aykırı olarak işlenmesini önlemeye,
  • Kişisel verilerin hukuka aykırı olarak erişilmesini önlemeye,
  • Kişisel verilerin muhafazasının sağlanması

amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirlerin alınmasını temin eder.

  • Kurum, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi halinde, yukarıda birinci maddede belirtilen tedbirlerin alınması hususunda bu kişilerle ve Kurum Yasal sınırları içerisinde sorumludurlar.
  • Kurum, İç Denetim tarafından, Kanun hükümlerinin uygulanmasını sağlamak amacıyla    gerekli denetimlerin yapılmasını sağlar.
  • Kurum bünyesinde çalışanlar, kişisel verilerin korunması hukuku ve kişisel verilerin hukuka uygun olarak işlenmesi konusunda bilgilendirilmekte ve eğitilmektedir.
  • Kurum bünyesinde çalışanları ve/veya görevleri dolayısıyla kişisel bilgileri öğrenen kişiler bahse konu bilgileri Kanun ve diğer ilgili mevzuat hükümlerine aykırı olarak başkasına açıklamamakta ve işleme amacı dışında kullanamamaktadır. Bu yükümlülükler görevden ayrılmalarından sonra da devam eder.
  • Kurumumuz tarafından kişisel verilerin hukuka uygun olarak aktarıldığı kişiler ile akdedilen sözleşmelere, kişisel verilerin aktarıldığı kişilerin, kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlanması için gerekli özen ve yükümlükle hareket edilmektedir.
  • Kurumumuz, kişisel verilerin güvenli ortamda saklanması ve hukuka aykırı amaçlarla yok edilmesini, kaybolmasını veya değiştirilmesini önleme için teknolojik imkânlar ve  uygulama maliyetine göre gerekli teknik ve idari tedbirleri almaktadır.
  • İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, bahse konu durum en kısa sürede ilgilisine ve KVK Kurulu’na bildirilir. Ayrıca KVK Kurulu’nun internet sitesinde veya başka bir yöntemle ilan edilir.


6.1. Teknik Tedbirler

Kurum tarafından kişisel verilerin hukuka aykırı erişimini engellemek için alınan başlıca teknik  tedbirler aşağıda sıralanmaktadır:

  • Yeni Teknolojik gelişmelere takip edilmekte ve özellikle siber güvenlik alanında sistemler üzerinde teknik önlemler alınmakta, alınan önlemler periyodik olarak güncellenmekte ve yenilenmektedir.
  • Her bir departman özelinde belirlenen hukuksal uyum gereksinimleri çerçevesinde erişim ve yetkilendirme teknik çözümleri devreye alınmaktadır.
  • Erişim yetkileri sınırlandırılmakta, yetkiler düzenli olarak gözden geçirilmektedir. Eski  çalışanlara erişim kısıtlaması uygulanmakta, hesaplar kapatılmaktadır.
  • Kurum içi işleyiş gereğince alınan teknik önlemler ilgili kullanıcılara raporlanmakta, risk teşkil eden hususlar yeniden değerlendirilerek gerekli teknolojik çözüm üretilmektedir.
  • Virüs koruma sistemleri, firewall, Veri Açığı güvenlikleri ve güvenlik duvarlarını içeren  yazılımlar ve donanımlar kurulmaktadır.
  • Teknik konularda bilgili personel istihdam edilmektedir.
  • Kişisel verilerin toplandığı uygulamalardaki güvenlik açıklarını saptamak için uygulamalar düzenli olarak dış etki testine tabi tutulmakta ve bu testin sonuçlarına göre  bulunan açıkların kapatılması sağlanmaktadır.


6.2. İdari Tedbirler

Kurum tarafından kişisel verilerin hukuka aykırı erişimini engellemek için alınan başlıca idari  tedbirler aşağıda sıralanmaktadır:

  • Çalışanlar, şube ve markalara ait servislerde özellikle kişisel veri işleyen ilgili kullanıcılar ve tüm personel, kişisel verilere hukuka aykırı erişimi engellemek için alınacak idari tedbirler konusunda eğitilmektedir.
  • Departman bazında kişisel veri işlenme süreçleri dikkate alınarak hukuki uyum şirket içinde kişisel verilere erişim ve yetkilendirme süreçleri uygulanmaktadır.
  • Kurum ile çalışanlar arasında imzalanan sözleşmelerde hukuka uygun kişisel veri işleme faaliyetinin kapsamı anlatılmakta ve bu hususlara uygun davranılacağına dair taahhütler bulunmaktadır.
  • Kurum tarafından kişisel verilerin hukuka uygun olarak aktarıldığı kişiler ile akdedilen sözleşmelere; kişisel verilerin aktarıldığı kişilerin, kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını  sağlayacağına ilişkin hükümler eklenmektedir.


6.3. Kişisel Verilerin Korunması Konusunda Alınan Tedbirlerin Denetimi

Kurum, bünyesinde Kişisel Veri Gizlilik Yöneticisi bulunmaktadır. Kişisel Veri Gizlilik Yönetici veri sorumlusu olan Kurum, adına Kanunun 12. Maddesinden kaynaklanan görevi gereği kendi kurum veya kuruluşunda, Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri bizzat yapmakta ve ihtiyaç halinde yetkin kuruluşlardan destek almak suretiyle yaptırmaktadır. Bu denetim sonuçlarına göre, tespit edilen ihlaller olumsuzluklar ve uygunsuzluklar yönetim kuruluna bildirilmekte ve yönetim kurulu bu hususlar nezdinde

gereken tedbirleri almaktadır. Kurum tarafından kişisel verilerin saklanması konusunda teknik gereklilikler sebebiyle dışarıdan bir hizmet alınması durumunda, kişisel verilerin hukuka uygun olarak aktarıldığı ilgili firmalar ile akdedilen sözleşmelerde; kişisel verilerin aktarıldığı kişilerin, kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlanacağına ilişkin hükümlere yer verilmektedir.

 

7. VERİ SAHİBİNİN HAKLARININ GÖZETİLMESİ

Kişisel veri sahipleri aşağıda sıralanan haklarına ilişkin taleplerini Kurum’a iletmeleri durumunda, talepler niteliğine göre en kısa sürede ve en geç otuz (30) gün içinde ücretsiz olarak sonuçlandırılmaktadır. Ancak işlemin ayrıca bir maliyeti gerektirmesi halinde, Kurumumuz tarafından KVK Kurulu’nca veya diğer otoritelerce belirlenen tarifedeki ücretler alınacaktır.

Bu kapsamda veri sahipleri taleplerini yazılı olarak veya KVK Kurulu’nun belirleyeceği diğer yöntemlerle Kurumumuza iletebileceklerdir.

Kişisel veri sahipleri:

  • Kişisel verilerinin işlenip işlenmediğini öğrenme,
  • Kişisel verileri işlenmiş ise buna ilişkin bilgi talep etme,
  • Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanıp kullanılmadığı öğrenme,
  • Yurtiçinde/yurtdışında kişisel verilerinin aktarıldığı üçüncü kişileri bilme,
  • Kişisel verilerinin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  • Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerinin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  • İşlenen verilerinin münhasır otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme ve
  • Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme

haklarına sahiptir.

 

7.1. Kişisel Veri Sahibinin Haklarını İleri Süremeyeceği Haller

Kişisel veri sahipleri, Kanunu’nun 28. maddesi gereğince aşağıdaki haller KVK Kanunu kapsamı dışında tutulduğundan, bu konularda diğer haklarını ileri süremezler:

  • Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama  ve istatistik gibi amaçlarla işlenmesi.
  • Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.
  • Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmişkamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbarı faaliyetler kapsamında işlenmesi.
  • Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.

Kanunu’nun 28/2 maddesi gereğince; aşağıda sıralanan hallerde kişisel veri sahipleri zararın giderilmesini talep etme hakkı hariç, diğer haklarını ileri süremezler:

  • Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.
  • Kişisel veri sahibinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.
  • Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.
  • Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.

 

7.2. Kişisel Veri Sahibinin Haklarını Kullanması

Kişisel Veri Sahipleri bu Politika’da belirtilen haklarına ilişkin taleplerini kimliklerini tespit edecek bilgi ve belgelerle ve aşağıda belirtilen yöntemlerle veya Kişisel Verileri Koruma Kurulu’nun belirlediği diğer yöntemlerle Başvuru Formu’nu doldurup imzalayarak Kurum’a ücretsiz olarak iletebileceklerdir: Bu konuda kapsamlı düzenleme Kişisel Veri Sahibi Başvuru Prosedürü içerisinde yapılmıştır.

  • “www.izbas.net” adresinde bulunan formun doldurulduktan sonra ıslak imzalı bir nüshasının bizzat elden veya yazılı olarak posta aracılığı ile İzmir Serbest Bölgesi Panaz Mevkii Maltepe Köyü Menemen/İZMİR adresine iletilmesi
  • ““www.izbas.net” adresinde bulunan formun doldurulup yasal mevzuata uygun “güvenli elektronik imza” ile imzalandıktan sonra güvenli elektronik imzalı formun izbas@hs01.kep.tr adresine kayıtlı elektronik posta ile İzmir Serbest Bölge Kurucu Ve İşleticisi A.Ş. daha önce bildirilen ve İzmir Serbest Bölge Kurucu Ve İşleticisi A.Ş. sisteminde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle veya başvuru amacına yönelik geliştirilmiş bir yazılım ya da uygulama vasıtasıyla başvuru yapılması
  • ““www.izbas.net” adresinde bulunan formun doldurulup kimlik belgesi ile birlikte şahsi başvuru yapılması

 

8. KURUM TESİSİ, BİNA GİRİŞLERİ İLE BİNALAR İÇERİSİNDE YAPILAN KİŞİSEL VERİ İŞLEME FAALİYETLERİ 

Kurum tarafından güvenliğin sağlanması amacıyla, Kurum binalarında ve tesislerinde güvenlik kamerasıyla izleme faaliyeti ile misafir giriş çıkışlarının takibine yönelik kişisel veri işleme faaliyetinde bulunulmaktadır.

Güvenlik kameraları kullanılması ve misafir giriş çıkışlarının kayıt altına alınması suretiyle Kurum tarafından kişisel veri işleme faaliyeti yapılmaktadır.

Kurum, güvenlik kamerası ile izleme faaliyeti kapsamında; şirketin ve diğer kişilerin güvenliğini sağlamaya ilişkin menfaatlerini korumak gibi amaçlar taşımaktadır. Bu izleme faaliyeti, Serbest Bölgeler Kanunu, KVKK ve Özel Güvenlik Hizmetlerine Dair Kanun ve ilgili mevzuata uygun olarak sürdürülmektedir. Bu kapsamda kamera ile izleme yapıldığı bilgisi, tüm çalışan ve ziyaretçilere duyurulmakta ve kişiler aydınlatılmaktadır. Bildirim yazıları izleme yapılan alanların girişlerine asılmaktadır. Kurum tarafından KVK Kanunu’nun 12. maddesine uygun olarak, kamera ile izleme faaliyeti sonucunda elde edilen kişisel verilerin güvenliğinin sağlanması için  gerekli teknik ve idari tedbirler alınmaktadır.

 

9. KURUM BİNASINDA, TESİS GİRİŞLERİNDE VE İÇERİSİNDE YÜRÜTÜLEN MİSAFİR GİRİŞ ÇIKIŞLARININ TAKİBİ 

Kurum tarafından; güvenliğin sağlanması amacı ve bu Politika’da belirtilen diğer amaçlarla, Kurum binalarında ve Serbest Bölge tesislerinde misafir giriş çıkışlarının takibine yönelik kişisel veri işleme faaliyetinde bulunulmaktadır. Misafir olarak Serbest Bölgeye gelen kişilerin kimlik verileri elde edilirken ya da Kurum nezdinde asılan ya da diğer şekillerde misafirlerin erişimine sunulan metinler aracılığıyla söz konusu kişisel veri sahipleri bu kapsamda aydınlatılmaktadırlar. Misafir giriş-çıkış takibi yapılması amacıyla elde edilen veriler yalnızca bu amaçla işlenmekte ve ilgili kişisel veriler fiziki ortamda veri kayıt sistemine kaydedilmektedir.

 

10. KURUM TESİSLERİNDE İNTERNET ERİŞİMLERİNE İLİŞKİN KAYITLARIN SAKLANMASI 

Kurum tarafından güvenliğin sağlanması amacı ve bu Politika’da belirtilen diğer amaçlarla;  Kurum tarafından bina ve tesislerimiz içerisinde kaldığınız süre boyunca talep eden Ziyaretçilerimize internet erişimi sağlanabilmektedir. Bu durumda internet erişimlerinize ilişkin log kayıtları 5651 Sayılı Kanun ve bu Kanuna göre düzenlenmiş olan mevzuatın amir hükümlerine göre tutulmakta; bu kayıtlar ancak yetkili kamu kurum ve kuruluşları tarafından talep edilmesi halinde veya Kurum içinde gerçekleştirilecek denetim süreçlerinde ilgili hukuki yükümlülüğümüzü yerine getirmek amacıyla işlenmektedir.

 

11. KİŞİSEL VERİLERİN SAKLANMA SÜRELERİ

Kurum, ilgili kanunlarda ve mevzuatlarda öngörülmesi durumunda kişisel verileri bu mevzuatlarda belirtilen süre boyunca saklamaktadır.

Kişisel verilerin ne kadar süre boyunca saklanması gerektiğine ilişkin mevzuatta bir süre düzenlenmemişse, kişisel veriler Kurum’un o veriyi işlerken yürüttüğü faaliyet ile bağlı olarak Kurum’unun uygulamaları ve sektörün teamülleri uyarınca saklanmasını gerektiren süre kadar saklanmakta daha sonra verinin niteliği uyarınca Kurum tarafından oluşturulmuş ilgili Politika uyarınca silinmekte, yok edilmekte veya anonim hale getirilmektedir.

Kişisel verilerin işlenme amacı sona ermiş; ilgili mevzuat ve Kurum’un belirlediği saklama sürelerinin de sonuna gelinmişse; kişisel veriler yalnızca olası hukuki uyuşmazlıklarda delil teşkil etmesi veya kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi veya savunmanın tesis edilmesi amacıyla saklanabilmektedir. Buradaki sürelerin tesisinde bahsi geçen hakkın ileri sürülebilmesine yönelik zaman aşımı süreleri ile zaman aşımı sürelerinin geçmesine rağmen daha önce aynı konularda Kurum’a yöneltilen taleplerdeki örnekler esas alınarak saklama süreleri belirlenmektedir. Bu durumda saklanan kişisel verilere herhangi bir başka amaçla erişilmemekte ve ancak ilgili hukuki uyuşmazlıkta kullanılması gerektiği zaman ilgili kişisel verilere erişim sağlanmaktadır. Burada da bahsi geçen süre sona erdikten sonra kişisel veriler silinmekte, yok edilmekte veya anonim hale getirilmektedir.

 

12. KURUM KİŞİSEL VERİLERİN KORUNMASI VE  İŞLENMESİ POLİTİKASI’NIN DİĞER POLİTİKALARLA OLAN İLİŞKİSİ 

Kurum, işbu belge ile ortaya koyulan esasları; Kurum bünyesindeki diğer veri varlıklarına ilişkin Politikalar ve kişisel verilerin korunması ve işlenmesi konusunda iç kullanıma yönelik alt prosedürleri temel alarak oluşturmuştur.

 

13. GÜNCELLEME VE DEĞİŞİKLİKLER 

Şirket, Kanun’da yapılan değişiklikler nedeniyle, KVK Kurulu kararları uyarınca ya da sektördeki ya da bilişim alanındaki gelişmeler doğrultusunda işbu Politika ve bu Politika’ya bağlı ve ilişkili diğer politikalarda değişiklik yapma hakkını saklı tutar. İşbu politika ve diğer ilgili politikalar/düzenlemeler yılda bir kez gözden geçirilerek güncellenir. 

 

İşbu Politika’da yapılan değişiklikler derhal metne işlenir ve değişikliklere ilişkin açıklamalar Politika’nın sonunda açıklanır.