TR
EN
Mobile Hamburger Menu

KVKK

Nükleer Enerji Medya Galerisi
TÜNAŞ'tan Haberler
Nükleer Enerjiye Dair Yayınlar
Nükleer Mevzuat
Nükleer Güç Santrali Çalışma Prensibi
Türkiye’nin Nükleer Enerji Serüveni

05/Türkiye Nükleer Enerji Anonim Şirketi Kişisel Veri İşleme Ve İmha Politikası

1. GİRİŞ


1.1 Giriş

Kişisel verilerin korunması, TÜRKİYE NÜKLEER ENERJİ ANONİM ŞİRKETİ, (“TÜNAŞ” veya “Şirket”) için büyük önem arz etmekte olup, bu konuda azami hassasiyet gösterilmektedir. Bu doğrultuda, kişisel verilerin kişilerin beklentileri ile tutarlı bir şekilde ve yasalara uygun olarak işlenmesi, Şirket’in temel politikalarından biridir.

Türkiye Cumhuriyeti Anayasası’na göre, herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bir Anayasal hak olan kişisel verilerin korunması konusunda Şirket, işbu Kişisel Veri İşleme ve İmha Politikası (“Politika”) ile yönetilen kişisel verilerin korunmasına gerekli özeni göstermekte ve bunu bir Şirket politikası haline getirmektedir.


1.2 Güncellenebilirlik

İşbu Politika değişen şartlara ve mevzuata uyum sağlamak amacıyla zaman zaman güncellenebilecektir.

Güncelleme yapılması halinde Şirket’in internet sitesi üzerinden veya sair kanallardan bildirilecektir.


2. POLİTİKA’NIN AMACI VE KAPSAMI


Bu Politikanın amacı Şirket tarafından işbu Politika’nın dayanağı olan başta Anayasa olmak üzere, Uluslararası Sözleşmeler, 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”), 2016/679 sayılı Avrupa Birliği Veri Koruma Tüzüğü (General Data Protection Regulation) (“GDPR”), Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (“Yönetmelik”) ve diğer ilgili yasal mevzuata uygun bir biçimde yürütülen kişisel verilerin işlenmesi ve korunması ile işlenen kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesine ilişkin usul ve esasları belirlemektir.

Bu Politika, Şirket yönetim kurulu üyelerinin, Şirket çalışanlarının, çalışan adaylarının, Şirket ziyaretçilerinin, yurtdışı lisansüstü eğitim programları adaylarının ve/veya öğrencilerinin, tedarikçilerin/hizmet sağlayıcılarının ve verisi işlenen diğer üçüncü kişilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen verilerine ilişkindir.

İşbu Politika’nın birinci dereceden muhatabı Şirket’tir. Ancak, bu Politika’nın uygulanması ve Politika’da yer alan düzenlemeler, yönetim kurulu üyelerini, Şirket çalışanlarını, çalışan adaylarını, yurtdışı lisansüstü eğitim programları adaylarını ve / veya öğrencilerini, tedarikçilerini/hizmet sağlayıcılarını, ziyaretçilerini ve verisi işlenen diğer üçüncü kişileri ilgilendirmektedir. Şirket ile hali hazırda istihdam ilişkisi devam eden çalışanların yanı sıra hala kişisel verileri işlenmekte olan eski çalışanlar da işbu Politika kapsamındadır. Bu Politika’da yer alan “Çalışan” ifadesi, uygun olduğu ölçüde, Şirket’in çalışanlarını, eski çalışanlarını, yöneticilerini ve eski yöneticilerini kapsamaktadır.

Politika, Şirket’in sahibi olduğu ya da Şirket tarafından yönetilen, tüm kişisel verilerin işlenmesi, saklanması ve imhasına yönelik yürütülen faaliyetlerde uygulanmaktadır. Bu Politika, Şirket’in yönetim kurulu üyelerinin, tüm çalışanlarının, çalışan adaylarının, yurtdışı lisansüstü eğitim programları adaylarının ve / veya öğrencilerinin, tedarikçilerinin ve hizmet sağlayıcılarının, ziyaretçilerinin ve Şirket’in iş birliği yaptığı tüm kurum ve kuruluşlar nezdindeki çalışanların bilmesinin ve sürekli olarak uymasının beklendiği temel kontrol tedbirlerini tanımlamaktadır.

Bu Politika’nın bir diğer amacı da kişisel veri işleme faaliyetlerine konu gerçek kişilerin, kişisel verilerinin işlenmesi konusunda bilgilendirilmesi, aydınlatılması ve şeffaflığın sağlanmasıdır.

Yukarıda belirtilen kategorilerde yer alan Kişisel Veri Sahipleri gruplarına ilişkin işbu Politika’nın uygulama kapsamı Politika’nın tamamı olabileceği gibi yalnızca bir kısım hükümleri de olabilecektir.


3. TANIMLAR ve KİŞİSEL VERİ SAHİPLERİ


İşbu Politika’da içerik aksini gerektirmedikçe, hukuki ve teknik terimler;

Açık RızaBelirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza,
Alıcı GrubuVeri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi,
AnayasaTürkiye Cumhuriyeti Anayasası,
CCTVKapalı Devre Görüntü İzleme Sistemi (Closed Circuit Television)
ÇerezZiyaret edilen internet siteleri tarafından tarayıcılar aracılığıyla cihazınıza veya ağ sunucusuna depolanan küçük metin dosyalarını,
EBYSElektronik Belge Yönetim Sistemi,
Elektronik OrtamKişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamları,
Elektronik Olmayan OrtamElektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamları,
İlgili KullanıcıVerilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da departman hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişileri,
İşyeriİşçi Blokları Mah. Mevlana Bulv. No: 162/3 Çankaya/ANKARA/ adresinde mukim TÜNAŞ’ı
İmhaKişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini,
İnternet Sitesiwww.tunas.gov.tr
Kanun6698 Sayılı Kişisel Verilerin Korunması Kanunu’nu,
Kayıt OrtamıTamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı,
Kişisel VeriKimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi, (Örn. isim- soy isim, TCKN, e-posta, adresi, doğum tarihi, kredi kartı numarası, banka hesap numarası)
Kişisel Veri Sahibi (İlgili Kişi)Kişisel verisi işlenen gerçek kişiyi,
Kişisel Veri İşleme EnvanteriVeri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri,
Kişisel Verilerin İşlenmesiKişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,
KurulKişisel Verileri Koruma Kurulu’nu,
Özel Nitelikli Kişisel VeriIrk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verileri,
Periyodik İmhaKanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda işbu Politika’da belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini,
Politikaİşbu Kişisel Verileri İşleme, Saklama ve İmha Politikası’nı,
Şirket/TÜNAŞİşçi Blokları Mah. Mevlana Blv. No: 162/3 Çankaya/Ankara adresinde mukim Türkiye Nükleer Enerji Anonim Şirketi’ni,
Veri İşleyenVeri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen, veri sorumlusunun organizasyonu dışındaki gerçek veya tüzel kişileri,
Veri Kayıt SistemiKişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini,
Veri SorumlusuKişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, verilerin sistematik bir şekilde tutulduğu yeri (veri kayıt sistemi) yöneten kişiyi,
Veri Sorumluları Sicil Bilgi Sistemi (VERBİS)Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Kişisel Verileri Koruma Kurumu Başkanlığı tarafından oluşturulan ve yönetilen bilişim sistemini,
Yönetmelik28 Ekim 2017 tarihli Resmi Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’i,

İşbu Politika’da içerik aksini gerektirmedikçe, Kişisel Veri Sahipleri;

ÇalışanŞirket’le arasında iş akdi bulunan veya geçmişte iş akdi bulunmuş ve sona ermiş olan gerçek kişiyi, (Şirket yöneticilerini de kapsamaktadır.)
Çalışan AdayıŞirket’le arasında iş akdi kurulması amacıyla Şirket tarafından seçme ve yerleştirme sürecine dahil edilen gerçek kişiyi,
Hizmet SağlayıcıŞirket ile belirli bir sözleşme çerçevesinde hizmet sağlayan gerçek veya tüzel kişiyi,
TedarikçiŞirket’in hizmet aldığı üçüncü kişi tedarikçi/tedarikçi çalışanları, danışmanları/yöneticilerini ve hizmet sağlayıcılarını,
Yönetim Kurulu Üyesi/leriTÜNAŞ Yönetim Kurulu üyelerini,
Yurtdışı Lisansüstü Eğitim Programları AdaylarıEnerji ve Tabii Kaynaklar Bakanlığı ve ilgili kurum ve kuruluşlar ile bağlı olarak yürütülen TUNEM, YLSY, AESC ve benzeri programlara başvuran ve Şirket tarafından koordine edilen aday seçme ve yerleştirme sürecine katılan kişiyi,
Yurtdışı Lisansüstü Eğitim Programları ÖğrencileriEnerji ve Tabii Kaynaklar Bakanlığı ve ilgili kurum ve kuruluşlar ile bağlı olarak yürütülen TUNEM, YLSY, AESC ve benzeri programlar kapsamında kabul alan ve Şirket tarafından koordine edilen akademik danışmanlık ve/veya sponsorluk hizmetinden yararlanan kişiyi,
Ziyaretçiİşçi Blokları Mah. Mevlana Blv. No: 162/3 Çankaya/Ankara adresinde mukim TÜNAŞ’ı ziyaret eden kişiyi, TÜNAŞ’ın internet sitesini ziyaret eden kişiyi ve/veya TÜNAŞ’a çağrı merkezi aracılığıyla ulaşan kişiyi ifade eder.


4. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN İLKELER


4.1 Hukuka ve Dürüstlük Kurallarına Uygun İşleme

Kişisel Verilerin İşlenmesinde hukuksal düzenlemelerle getirilen genel ilkeler ile dürüstlük kurallarına uygun hareket edilmektedir. Bu kapsamda Kişisel Veriler işlendikleri amaçla orantılı ve sınırlı olarak işlenmektedir.


4.2 Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama

Yönetim kurulu üyelerinin, Çalışanların, Çalışan Adaylarının, Yurtdışı Lisansüstü Eğitim Programları Adaylarının, Tedarikçilerin ve Hizmet Sağlayıcıların, Ziyaretçilerin ve verisi işlenen diğer üçüncü kişilerin meşru menfaatleri dikkate alınarak, işlenen verilerin doğru ve güncel olması için dönemsel kontrol ve güncellemeler yapılmakta ve bu doğrultuda gerekli tedbirler alınmaktadır. Bu kapsamda Kişisel Verilerin doğruluğunu kontrol etme ve gerekli düzeltmeleri yapmaya yönelik sistemler Şirket bünyesinde oluşturulmaktadır.


4.3 Belirli, Açık ve Meşru Amaçlarla İşleme

Şirket tarafından veri minimizasyonu çerçevesinde Kişisel Veriler, açık ve kesin veri işleme amaçlarına dayalı olarak ve bu amaçla gerekli olduğu kadar işlenmektedir. Verilerin hangi amaçla işleneceği henüz Kişisel Veri İşleme faaliyeti başlamadan ortaya konulmaktadır.


4.4 İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma 

Kişisel Veriler belirlenen amaçların gerçekleştirilebilmesine elverişli bir biçimde işlenmekte ve amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan Kişisel Verilerin İşlenmesinden kaçınılmaktadır.


4.5 Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Etme

Şirket Kişisel Verileri ancak ilgili mevzuatta belirtildiği veya işlendikleri amaç için gerekli olan süreler kadar muhafaza etmektedir. Bu kapsamda, öncelikle ilgili mevzuatta Kişisel Verilerin saklanması için bir süre öngörülüp öngörülmediği tespit edilmekte, bir süre belirlenmişse bu süreye uygun davranılmakta, bir süre belirlenmemişse Kişisel Veriler işlendikleri amaç için gerekli olan süre kadar saklanmaktadır. Sürenin bitimi veya işlenmesini gerektiren sebeplerin ortadan kalkması halinde, daha uzun süre işlenmelerine izin veren hukuki bir sebep bulunmaması halinde, Kişisel Veriler Şirket’in bu yönde uyguladığı politika esaslarına göre silinmekte, yok edilmekte veya anonim hale getirilmektedir.


5. KİŞİSEL VERİLERİN İŞLENMESİ ŞARTLARI


Kişisel Veri sahibinin Açık Rıza vermesi, Kişisel Verilerin hukuka uygun olarak işlenmesini mümkün kılan hukuki dayanaklardan bir tanesidir. Açık Rıza dışında, aşağıda yazan diğer şartlardan birinin varlığı durumunda du Kişisel Veriler işlenebilir. Kişisel Veri İşleme faaliyetinin dayanağı aşağıda belirtilen şartlardan yalnızca biri olabildiği gibi bu şartlardan birden fazlası da aynı Kişisel Veri işleme faaliyetinin dayanağı olabilir.


5.1 Kişisel Veri Sahibinin Kişisel Verilerinin Açık Rızaya Dayalı Olarak İşlenmesi

Kişisel Veri Sahibi’nin Kişisel Verileri, farklı bir şarta dayalı olarak işlenmediği durumlarda, Açık Rızaya dayalı olarak işlenmektedir. Kişisel Veri sahipleri, işlenen Kişisel Verilerinin hangileri olduğu, Kişisel Verilerinin hangi amaçlarla ve hangi sebeplerle işlendiği, Kişisel Verilerinin hangi kaynaklardan toplandığı, bu Kişisel Verilerin kimlerle paylaşılacağı ve nasıl kullanılacağı hakkında bilgilendirilerek bu şekilde Açık Rızaları alınmaktadır.


5.2. Kanunlarda Açıkça Öngörülmesi

Kanunda açıkça Kişisel Veri İşlenmesi öngörüldüğü hallerde Şirket, verisi işlenecek Kişisel Veri Sahibinin ayrıca Açık Rızasını almadan Kişisel Verilerini işlemektedir.


5.3. Fiili İmkânsızlık Sebebiyle İlgilinin Açık Rızasının Alınamaması

Fiili imkânsızlık nedeniyle Açık Rızasını açıklayamayacak durumda olan veya Açık Rızasına hukuki geçerlilik tanınamayan Kişisel Veri Sahibinin kendisinin ya da başka bir kişinin hayatını veya beden bütünlüğünü korumak için Kişisel Verisinin işlenmesinin zorunlu olması halinde Kişisel Veri Sahibinin Açık Rızası alınmaksızın verileri işlenmektedir.


5.4. Sözleşmenin Kurulması veya İfasıyla Doğrudan İlgili Olması

Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait Kişisel Verilerin İşlenmesinin gerekli olması halinde Kişisel Veriler işlenmektedir.


5.5. Şirketin Hukuki Yükümlülüğünü Yerine Getirmesi 

Veri Sorumlusu olarak hukuki yükümlülükleri yerine getirmek için veri işlemenin zorunlu olması halinde Açık Rıza alınmaksızın Kişisel Veri Sahibinin verileri işlenmektedir.


5.6. Kişisel Veri Sahibinin Kişisel Verisini Alenileştirmesi

Kişisel Veri Sahibinin, Kişisel Verisinin kendisi tarafından alenileştirilmiş olması halinde de Açık Rızaya gerek olmaksızın Kişisel Veriler işlenmektedir.


5.7. Bir Hakkın Tesisi, Kullanılması veya Korunması için Veri İşlemenin Zorunlu Olması

Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde Kişisel Veri Sahibinin Açık Rızası alınmaksızın verileri işlenmektedir.


5.8. Meşru Menfaate Dayalı Olarak Verilerin İşlenmesi

Kişisel Veri Sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirket’in meşru menfaatleri için veri işlemenin zorunlu olması halinde Kişisel Veri Sahibinin Açık Rızası alınmaksızın verileri işlenmektedir.


6. İŞLENEN KİŞİSEL VERİLERE DAİR AÇIKLAMALAR 


Şirket, Kişisel Veri Sahiplerine ilişkin Kişisel Verileri Kanun’un 10 uncu maddesi ve ikincil mevzuat uyarınca Şirket kişisel veri işleme amaçları doğrultusunda ve Politika’nın ikinci başlığında yer alan amaçlar dâhil ancak bunlarla sınırlı olmamak üzere; aydınlatma yükümlülüğünü yerine getirmek suretiyle; Kanun’un 5 inci ve 6 ncı maddesinde belirtilen kişisel veri işleme şartlarından en az birine dayalı ve sınırlı olarak, başta Kanun’un 4 üncü maddesinde belirtilen ilkeler olmak üzere Mevzuatta belirtilen genel ilkelere uygun bir şekilde işlemektedir.
Şirket, yukarıda belirtilen amaçlar kapsamında ve Mevzuat hükümleri doğrultusunda işbu Politika’da düzenlenmiş ilkelere uygun olarak Kişisel Veri Sahiplerine ait Kişisel Verileri, yurt içindeki sistemlerde veri işlemenin amacı ile sınırlı olmak üzere işbu Politika’da yer alan usullere göre saklamakta, üçüncü kişiler ile paylaşmakta ve imha etmektedir.
Şirket ile Kişisel Veri Sahipleri arasındaki ilişkiye bağlı olarak işlenen Kişisel Veriler çeşitleri ve sayıları işlenme nedenine göre değişiklik gösterecek olmakla birlikte, Kişisel Veri Sahibi’nin Şirket ile paylaştığı yahut Şirket tarafından üçüncü kişilerden elde edilen Kişisel Veriler aşağıda kategorilendirilmiştir:

Kişisel Veri KategorileriTopladığımız Kişisel Veriler
Kimlik Verileriİsim, soy isim, Türkiye Cumhuriyeti Kimlik Numarası, cinsiyet, ülke, doğum tarihi ve yeri, askerlik durumu, milliyet, medeni durum, cilt/aile sıra no, nüfus cüzdanı seri no, eş ve bakmakla yükümlü olunan kişilere ait isim-soy isim, doğum tarihi, kimlik numarası bilgiler, cilt/aile sıra no, nüfus cüzdanı seri no, pasaport bilgileri, ehliyet, biyografi, diğer nüfus bilgileri
Görsel VerilerFotoğraf, ses ve kamera kayıtları (CCTV hariç).
İletişim VerileriKurumsal ve kişisel e-posta, kurumsal ve kişisel telefon ve acil durumda iletişime geçilecek yakınlara ait adres ve telefon bilgileri vb.
Lokasyon Verileriİkametgâh adresi, iş adresi.
Ağ Trafiği ve Diğer İlişkili VerilerIP adresi, çerezler, cihaz kimlik numarası, ziyaret edilen internet siteleri.
Hesap Giriş BilgileriKullanıcı adı ve şifre, Şirket sistemleri ve uygulamalarına erişim sağlamak ve/veya bunları güvenli hale getirmek için kullanılan diğer bilgiler.
Özlük BilgileriEş ve çocuklara ait isim soy isim, Türkiye Cumhuriyeti Kimlik Numarası, doğum tarihi ve meslek verileri, askerlik durumu, departman, yetkiler, ofis adresi, işe alınma tarihi, unvanı, görevi/derecesi, iş birimi, yarı zamanlı ya da tam zamanlı pozisyon, tatil hakları, çalışma geçmişi, işe alınma/yeniden işe alınma ve iş akdini sonlandırma tarih(ler)i ve sebepleri, yetkiler, emeklilik durumu, terfiler ve disiplin kayıtları, transferlerin tarihi, bağlı olduğu müdür(ler), iş sözleşmesinin diğer detayları, vukuatlı nüfus kayıt örneği, SGK prim gün sayıları, eşin çalışmadığına dair hizmet dökümü, çocuk sayısı ve çocuklara ait öğrenci belgeleri, ölüm izni ve yardımı alan çalışanın yakınına ait ölüm belgesi, özel güvenlik kartı bilgileri.
Mesleki DeneyimPersonel değerlendirme formu, meslek kodu, iş tecrübeleri, işe başlama ve işten ayrılma tarihleri, işten ayrılma sebepleri, ücret ve yan haklar, eğitim bilgileri, yabancı dil puanı, mesleki yetenekleri, sertifika ve kurs bilgileri, çalışılan kurum, çalışılan pozisyon.
Finansal VerilerMaaş bilgisi, maaşın dışında kalan sosyal yardım ve yan haklar, gelir bilgisi, banka hesap bilgileri, BES kesinti miktarı, icra borcu bilgileri, avans bilgileri, alacak ve borç bilgileri, huzur hakkı bilgisi.
Hukuki İşlem VerileriPuantaj kayıtları, çalışma izin belgesi, SGK No, sigortalılık türü gibi veriler.
Sosyal VerilerSigara kullanma durumu, alkol kullanma durumu, hobi ve aktiviteler.
Devamsızlık Verileriİşle ilişkili organizasyonlara katılım, tatil, hastalık izni, uzun dönemli izin vb. izinlerin geçirildiği adresler.
Ceza mahkumiyeti verileriSuç teşkil eden davranışlar, sabıka kayıtları veya suç teşkil eden veya diğer yasal olmayan davranışlara ilişkin yürütülen takip ve davalar hakkındaki veriler.
Sağlık VerileriSağlık raporu, İş göremezlik raporu, Engelli Raporu
Eğitim verileriEğitim ve diploma verileri, yabancı dil bilgisi, bilgisayar bilgisi, eğitim ve sertifika bilgileri.
Kariyer Gelişimine İlişkin VerilerBaşvuru mektupları ve özgeçmişte sunulan detaylar, özel uzmanlık, yeterlilik değerlendirmeleri, kişilik envanteri.
CCTV ve Güvenlik Sistemleri ile Toplanan BilgilerCCTV görüntüleri.
Şirket Mülkünde Yer Alan ve Personele Zimmetlenen BilgilerŞirket dizüstü bilgisayarı, Şirket arabası, Şirket’e ait cep telefonunda yer alan bilgiler, USB bellek,
Seyahat ve Masraflara İlişkin VerilerPasaport verileri, vize, kullanılan seyahat araçlarına ilişkin bilgiler, ruhsat bilgileri, masraf raporu verileri, avans talep formu, yurt dışı seyahat onay formu, vatandaşlık, oturma ve çalışma izni detayları, konsolosluğun vize kabul işlemlerine ilişkin vermiş olduğu referans numarası
Kurumsal Hafıza BilgisiTÜNAŞ’ın kurumsal hafızasını oluşturabilmek amacıyla TÜNAŞ tarafından yürütülen faaliyetler kapsamında işlenen anı, röportaj vb. bilgiler.
Diğer VerilerReferans kişilerinin isim-soy isim, e-posta adresi ve iletişim numaraları, Kişisel Veri Sahipleri’nin sahip olduğu çocuk sayısı, hobileri, aile bireylerinin isim-soy isim ve iletişim numaraları, sigara kullanımı, kişilik envanteri (mülakatı olumlu geçen adaylar için), sınav sonuçları (mülakata katılmaya hak kazanan adaylar için), iş teklif formu (işe alınmaya hak kazanan adaylar için)

İşyeri içerisinde görünür şekilde bulunan güvenlik kameraları veri merkezi ve arşiv odasına giriş yaptıkları andan itibaren görüntüleri kayıt altına alınmakta ve bu kapsamda güvenlik amacıyla bu kayıtlar saklanmaktadır. Güvenlik amaçlarını aşan şekilde ve kişinin mahremiyetine müdahale sonucu doğurabilecek alanlar izlemeye tabi tutulmamaktadır. İşyerinde bulunan kamera sayısı, veri güvenliğinin sağlanması için gerekli ve bu amaç ile sınırlıdır.
Dijital ortamda kaydedilen ve muhafaza edilen kayıtlara yetkili kişilerin erişimi bulunmaktadır. Canlı kamera görüntülerini ise, şirket Bilgi Teknolojileri Departmanına bağlı yetkili kişiler izleyebilmektedir.
Ayrıca Kişisel Veriler güvenlik amacıyla ve/veya Şirket’in meşru çıkarlarını korumak veya şüphelenilen veya gerçek yasa ihlallerini, çalışma koşullarının ihlallerini veya Şirket’in iş ilkeleri veya Şirket politikalarına uymama durumlarının engellenmesi veya araştırılması için Şirket tarafından kullanılabilir. Yukarıdaki amaçlarla ve ilgili yasalarla izin verildiği sürece, Şirket’in genel iş ilkelerini veya politikalarını veya diğer ilgili yasaların ihlal edildiğine dair oluşan şüpheleri destekleyen bilgilerin elde edilmesi durumunda, aşağıdaki tedbirler alınabilir:

  • Gönderilen, erişim sağlanan, görüntülenen veya saklanan verilere erişmek, araştırmak, izlemek ve bunları arşivlemek,
  • Video takip gerçekleştirmek,
  • Kolluk kuvvetlerine muhtemel yasadışı davranışa işaret eden ve aramalarda elde edilen bilgileri açıklamak.

Şirket, yukarıda belirtilen amaçlar kapsamında ve Mevzuat hükümleri doğrultusunda işbu Politika’da düzenlenmiş ilkelere uygun olarak temin ettiği gerçek kişiye ait Kişisel Verileri, yurt içindeki sistemlerde veri işlemenin amacı ile sınırlı olmak üzere işbu Politika’da yer alan usullere göre; saklamakta, üçüncü kişiler ile paylaşılmakta ve imha etmektedir.


7. KİŞİSEL VERİLERİN TOPLANMA YÖNTEMLERİ VE HUKUKİ SEBEPLERİ


Kişisel Veri Sahiplerine ait Kişisel Veriler, Şirket tarafından;

  • Tarafların dijital yollarla başvuru göndermesi,
  • Tarafların fiziki yollarla başvuru göndermesi,
  • Danışmanlık şirketi aracılığıyla başvuruların alınması,
  • Taraflarca aradaki ticari ilişki gereği tedarikçinin/hizmet sağlayıcının fiziksel veya dijital yollarla kişisel verileri paylaşması,
  • Güvenlik kamerasıyla yapılan izleme faaliyeti ile;
  • Tarafların şirket internet sitesini ziyaret etmesi halinde,
  • Tarafların çağrı merkezi vasıtasıyla şirkete ulaşması halinde,
  • Kişisel verilerin taraflarca fiziksel veya dijital yollarla Şirket’e ulaştırılması,

gibi kanallarla KVKK tarafından öngörülen temel ilkelere uygun olarak, KVKK’nın 5 inci ve 6 ncı maddelerinde belirtilen kişisel veri işleme şartları kapsamında işbu Politika’da belirtilen amaçlarla toplanabilmekte, işlenebilmekte ve aktarılabilmektedir.


8. KİŞİSEL VERİLERİN AKTARILMASI


Şirket, faaliyetleri kapsamında işlemekte olduğu Kişisel Verilerin yurt içine ve/veya yurt dışına aktarılması bakımından, ilgili mevzuata uygun ve uyumlu hareket etmektedir.
İlgili mevzuat uyarınca kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz. Bu durumun istisnası olarak; kişisel verilerin işlenmesi aşağıda belirtilen hallerden birinin kapsamına giriyorsa, ilgili kişinin Açık Rızası aranmaksızın kişisel verilerin aktarılması mümkün olabilir:
a) Kanunlarda açıkça öngörülmesi.
b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait Kişisel Verilerin İşlenmesinin gerekli olması.
d) Veri Sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
e) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
f) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
g) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Veri Sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
Kişisel Verilerin yurt dışına aktarılabilmesi için de ilgili kişinin Açık Rızası bulunması gerekmektedir. Ancak yukarıda sayılan istisnai hallerden birinin var olması ve bu halin varlığına ek olarak Kişisel Verinin aktarılacağı yabancı ülkede aşağıdaki şartlardan duruma uygun olanının karşılanması durumunda Kişisel Verilerin yurt dışına aktarımı mümkün olabilir:
a) Yeterli korumanın bulunması,
b) Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir. (Yeterli korumanın bulunduğu ülkeler Kurul’ca belirlenerek ilan edilecektir.)
Şirket ile ilişkiye bağlı olarak işlenen Kişisel Verilerin çeşitleri ve sayıları işlenme nedenine göre değişiklik gösterecek olmakla birlikte; Şirket ile paylaşılan yahut Şirket tarafından üçüncü kişilerden elde edilen kişisel verilere ilişkin aktarım yapılan kurumlar, aktarım amaçları ve saklanma süreleri aşağıda kategorilendirilmiştir:

Şirket tarafından mevzuata uygun olarak elde edilen Kişisel Verilerin saklama ve imha sürelerinin tespiti hususunda mevzuatta bir süre öngörülmüş ise bu süreye riayet edilir. Mevzuatta bir süre öngörülmüş ise anılan süre kadar veya mevzuatta herhangi bir süre öngörülmemiş olması durumunda Kişisel Veriler, TÜNAŞ’ın uygulamaları ve ticari yaşamın teamülleri uyarınca işlenmesini gerektiren süre kadar saklanır.

Kişisel Veri KategorileriAktarım Yapılan KurumlarAktarım AmaçlarıSaklama ve İmha Süreleri
Kimlik Verileriİlgili Bakanlıklar, ilgili kurum, kuruluş, şirket, üniversiteler, SGK, İŞKUR, Karakol, Muhtarlık, Bireysel Emeklilik Hizmeti Alınan Banka Kuruluşu ve diğer anlaşmalı bankalar, Sigorta Hizmeti alınan Şirketler, Eğitim Hizmeti Alınan Kurumlar ve Şirketler, Mal ve Hizmet Alımı Yapılan Tedarikçiler, TENMAK, yurtdışı danışmanlık şirketleri, yurtdışı organizasyonları ve TÜNAŞ’ın üye olduğu diğer organizasyonlar, anlaşmalı seyahat acentaları, Kariyer ve Yetenek Yönetim sistemleri kapsamında çalışanların gelişimine katkı sağlamak üzere danışmanlık sağlayan kişi ve kurumlar, Kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları, soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri, Ticaret Odaları, İlgili Noterler-Yurt dışı eğitim, resmi ziyaret süreçlerinin yürütülmesi, özel günler için kutlama kartı hazırlatılması, kanuni yükümlülüklerin yerine getirilmesi, vize işlemlerinin tamamlanabilmesi, şirket içi imkanlardan çalışanların faydalandırılması, güvenlik zafiyetinin en aza indirilmesi, yönetim ve temsil faaliyetlerinin gerçekleştirilebilmesi, hukuki inceleme (due diligence) süreçlerinin yürütülmesi ve sözleşmesel yükümlülüklerin yerine getirilebilmesi amaçlarıyla,

-Kanuni yükümlülüklerin yerine getirilmesi, yönetim ve temsil faaliyetlerinin gerçekleştirilebilmesi, yurtdışı seminer ve konferanslara başvuru süreçlerinin yürütülebilmesi, şirket içi kullanıcı hesaplarının oluşturulması ve yurtdışı seminer ve konferanslara başvuru süreçlerinin yürütülebilmesi amaçlarıyla,

-Çalışan ve çalışanın yakınına ait isim-soy isim bilgisi özel günler için kutlama kartı hazırlatılması amacıyla,

-İcra işlemlerinin yürütülebilmesi ve maaş ödemelerinin yapılabilmesi amacıyla,

-Yurt dışı eğitim ve seyahatlerine ilişkin ilgili süreçlerin yürütülebilmesi amacıyla,

-TÜNAŞ’ın kariyer yönetim ve yetenek yönetim sistemlerine girdi sağlaması amacıyla, Kişisel Veri Sahibi’nin yetenek, yatkınlık ve yetkinliklerine ilişkin fikir sahibi olmak, bu özellikleri doğrultusunda kendilerini kariyer yollarında destek olmak amacıyla,

-TÜNAŞ’ın fiziki ve hukuki güvenliğin sağlanması, genel işyeri güvenliğinin sağlanması, sunulan hizmetlerin kalitesinin artırılması, mevzuattan kaynaklı yükümlülüklerin yerine getirilmesi amacıyla paylaşılmaktadır.

-Vize işlemlerinin yürütülmesi ve seyahat sağlık sigortasının yapılması amaçlarıyla,

-Hukuki inceleme (due diligence) süreçlerinin yürütülmesi amacıyla,		Kişisel verileri işlendikleri amaç için gerekli olan süre ve ilgili faaliyetin tabi olduğu yasal mevzuatta öngörülen minimum süre kadar muhafaza etmektedir. Bu kapsamda, Şirketimiz öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmaktadır. Yasal bir süre mevcut değil ise kişisel veriler işlendikleri amaç için gerekli olan süre kadar sakzlanmaktadır.
Görsel Veriler
İletişim Verileri
Lokasyon Verileri
Ağ Trafiği ve Diğer İlişkili Veriler
Hesap Giriş Bilgileri
Özlük Bilgileri
Mesleki Deneyim
Finansal Veriler
Hukuki İşlem Verileri
Sosyal Veriler
Devamsızlık Verileri
Sağlık Verileri
Eğitim Verileri
Kariyer Gelişimine İlişkin Veriler
CCTV ve Güvenlik Sistemleri ile Toplanan Bilgiler
Şirket Mülkünde Yer Alan ve Personele Zimmetlenen Bilgiler
Seyahat ve Masraflara İlişkin Veriler


9.POLİTİKA İLE DÜZENLENEN KAYIT ORTAMLARI


Kanun kapsamındaki veri işleme faaliyetlerine konu tüm Kişisel Veriler, tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla Şirket tarafından elektronik ortamlarda ve fiziki ortamda saklanmaktadır.
Kişisel Verilerin saklandığı elektronik ve fiziki saklama ortamları aşağıdaki tabloda belirtilmiştir. Aşağıda yer verilen elektronik ve fiziki saklama ortamları bu Politikanın hazırlandığı tarih itibariyle Şirket tarafından kullanılmakta olan güncel saklama ortamları olup, zaman zaman bu ortamlarda değişiklik yapılması söz konusu olabilecektir.

Elektronik Saklama OrtamlarıElektronik Olmayan Ortamlar
-Sunucular (ERP sunucuları, Etki alanı, yedekleme, e-posta/exchange, veri tabanı, web, dosya paylaşım, vb.)
-Yazılımlar (Ofis yazılımları, EBYS)
-Bilgi güvenliği cihazları (güvenlik duvarı, saldırı tespit ve engelleme, günlük kayıt dosyası, anti virüs vb.)
-Kişisel bilgisayarlar (Masaüstü, dizüstü)
-Mobil cihazlar (Telefon, tablet vb.)
-Optik diskler (CD, DVD vb.)
-Çıkartılabilir bellekler (USB, Hafıza Kart vb.)
-Departmanların dosya sunucusundaki dosyaları
-Yazıcı, tarayıcı, fotokopi makinesi		-Kağıt
-Manuel veri kayıt sistemleri (Anket formları, ziyaretçi giriş defteri),
-Yazılı, basılı, görsel ortamlar


10.KİŞİSEL VERİLERİN SAKLANMASINA VE İMHASINA İLİŞKİN AÇIKLAMALAR


Şirket tarafından çalışanların, çalışan adaylarının, yurt dışı lisansüstü eğitim programları adaylarının, tedarikçilerin ve hizmet sağlayanların ve verisi işlenen diğer üçüncü kişilerin, kurum veya kuruluşların çalışanlarının kişisel verileri Kanuna uygun olarak saklanır ve imha edilir. Bu kapsamda saklama ve imhaya ilişkin detaylı açıklamalara aşağıda sırasıyla yer verilmiştir.


10.1 Saklamayı Gerektiren Hukuki Sebepler

Şirket faaliyetleri çerçevesinde işlenen Kişisel Veriler, ilgili mevzuatta öngörülen süre kadar muhafaza edilir. Bu kapsamda kişisel veriler;

  • 6698 sayılı Kişisel Verilerin Korunması Kanunu,
  • 6098 sayılı Türk Borçlar Kanunu,
  • 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,
  • 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun,
  • 6331 sayılı İş Sağlığı ve Güvenliği Kanunu,
  • 4982 sayılı Bilgi Edinme Kanunu,
  • 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanun,
  • 4857 sayılı İş Kanunu,
  • 213 sayılı Vergi Usul Kanunu
  • İşyeri Bina ve Eklentilerinde Alınacak Sağlık ve Güvenlik Önlemlerine İlişkin Yönetmelik, ve yürürlükte olan diğer ikincil düzenlemeler çerçevesinde öngörülen saklama süreleri kadar saklanmaktadır.


10.2 Saklamayı Gerektiren İşleme Amaçları 

Şirket, faaliyetleri çerçevesinde işlemekte olduğu kişisel verileri işbu Politika’nın 5.1, 5.2, 5.3, 5.4, 5.5, 5.6, 5.7 ve 5.8. başlıklarında yer alan amaçlar doğrultusunda saklar.


10.3 İmhayı Gerektiren Sebepler

Kişisel veriler;

  • İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
  • İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
  • Kişisel Verileri İşlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin Açık Rızasını geri alması,
  • Kanunun 11 inci maddesi gereği ilgili kişinin hakları çerçevesinde Kişisel Verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Şirket veya Kurum tarafından kabul edilmesi,
  • Şirket’in, ilgili kişi tarafından Kişisel Verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde Kurul'a şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması,
  • Kişisel Veriler'in saklanmasını gerektiren azami sürenin geçmiş olması ve Kişisel Verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması, durumlarında, Şirket tarafından ilgili kişinin talebi üzerine veya resen silinir, yok edilir veya anonim hale getirilir.


11. KİŞİSEL VERİLERİN GÜVENLİ BİR ŞEKİLDE SAKLANMASI İLE HUKUKA AYKIRI OLARAK İŞLENMESİ VE ERİŞİLMESİNİN ÖNLENMESİ İÇİN ALINMIŞ TEKNİK VE İDARİ TEDBİRLER


11.1 Teknik Tedbirler

Şirket, Kişisel Verilerin güvenli bir şekilde saklanması ile hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi konusunda azami dikkat ve özeni göstermekte olup, Kanun’un 12 nci maddesi ve Yönetmelik hükümleri, yukarıda belirtilen genel ilkeler ile işbu Politika ve Kurul kararları uyarınca aşağıda belirtilen hususlar ile ilgili teknolojik imkanlar ve uygulama maliyetine göre gerekli teknik ve idari tedbirleri almaktadır.

Şirket tarafından Kişisel Verilerin güvenli ortamlarda saklanması için alınan başlıca teknik tedbirler aşağıda sıralanmaktadır:

  • Kişisel Verilerin güvenli ortamlarda saklanması için teknolojik gelişmelere uygun sistemler kullanılmaktadır.
  • Teknik konularda uzman personel istihdam edilmektedir.
  • Saklanma alanlarına yönelik teknik güvenlik sistemleri kurulmakta, alınan teknik önlemler iç denetim gereği ilgilisine raporlanmakta, risk teşkil eden hususlar yeniden değerlendirilerek gerekli teknolojik çözüm üretilmektedir.
  • Kişisel Verilerin güvenli bir biçimde saklanmasını sağlamak için hukuka uygun bir biçimde yedekleme programları kullanılmaktadır.
  • Güvenlik duvarları kullanılmaktadır.
  • Güncel anti-virüs sistemleri kullanılmaktadır.
  • Kişisel Veriler mümkün olduğunca azaltılmaktadır.
  • Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir.
  • Kişisel Verilerin bulunduğu veri depolama alanlarına erişimler loglanarak uygunsuz erişimler veya erişim denemeleri takip edilmektedir.
  • Sızma (Penetrasyon) testleri ile Şirket bilişim sistemlerine yönelik risk, tehdit, zafiyet ve varsa açıklıklar ortaya çıkarılarak gerekli önlemler alınmaktadır.
  • Bilgi güvenliği olay yönetimi ile gerçek zamanlı yapılan analizler sonucunda bilişim sistemlerinin sürekliliğini etkileyecek riskler ve tehditler sürekli olarak izlenmektedir.
  • Saldırı tespit ve önleme sistemleri kullanılmaktadır.
  • Bilişim sistemlerine erişim ve kullanıcıların yetkilendirilmesi, erişim ve yetki matrisi ile kurumsal aktif dizin üzerinden güvenlik politikaları aracılığı ile yapılmaktadır.
  • Şirketin bilişim sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği için gerekli önlemler alınmaktadır.
  • Çevresel tehditlere karşı bilişim sistemleri güvenliğinin sağlanması için, donanımsal (sistem odasına sadece yetkili personelin girişini sağlayan erişim kontrol sistemi, 7/24 çalışan izleme sistemi, yerel alan ağını oluşturan kenar anahtarların fiziksel güvenliğinin sağlanması, yangın söndürme sistemi, iklimlendirme sistemi vb.) ve yazılımsal (güvenlik duvarları, atak önleme sistemleri, ağ erişim kontrolü, zararlı yazılımları engelleyen sistemler vb.) önlemler alınmaktadır.
  • Kurum içerisinde erişim prosedürleri oluşturularak kişisel verilere erişim ile ilgili raporlama ve analiz çalışmaları yapılmaktadır.
  • Kişisel Verilerin bulunduğu saklama alanlarına erişimler kayıt altına alınarak uygunsuz erişimler veya erişim denemeleri kontrol altında tutulmaktadır.
  • Şirket, silinen Kişisel Verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli tedbirleri almaktadır.
  • Kişisel Verilerin hukuka aykırı olarak başkaları tarafından elde edilmesi halinde bu durumu ilgili kişiye ve Kurula bildirmek için Şirket tarafından buna uygun bir sistem ve altyapı oluşturulmuştur.
  • Güvenlik açıkları takip edilerek uygun güvenlik yamaları yüklenmekte ve bilgi sistemleri güncel halde tutulmaktadır.
  • Kişisel Verilerin işlendiği elektronik ortamlarda güçlü parolalar kullanılmaktadır.
  • Kişisel Verilerin işlendiği elektronik ortamlarda güvenli kayıt tutma (loglama) sistemleri kullanılmaktadır.
  • Kişisel Verilerin güvenli olarak saklanmasını sağlayan veri yedekleme programları kullanılmaktadır.
  • Elektronik olan veya olmayan ortamlarda saklanan kişisel verilere erişim, erişim prensiplerine göre sınırlandırılmaktadır.
  • Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
  • Özel Nitelikli Kişisel Veri işleme süreçlerinde yer alan çalışanlara yönelik özel nitelikli Kişisel Veri güvenliği konusunda eğitimler verilmiş, gizlilik sözleşmeleri yapılmış, verilere erişim yetkisine sahip kullanıcıların yetkileri tanımlanmıştır.
  • Özel Nitelikli Kişisel Verilerin işlendiği, muhafaza edildiği ve/veya erişildiği elektronik ortamlar kriptografik yöntemler kullanılarak muhafaza edilmekte, kriptografik anahtarlar güvenli ortamlarda tutulmakta, tüm işlem kayıtları loglanmakta, ortamların güvenlik güncellemeleri sürekli takip edilmekte, gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,
  • Özel Nitelikli Kişisel Verilerin işlendiği, muhafaza edildiği ve/veya erişildiği fiziksel ortamların yeterli güvenlik önlemleri alınmakta, fiziksel güvenliği sağlanarak yetkisiz giriş çıkışlar engellenmektedir.
  • Özel Nitelikli Kişisel Veriler e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya KEP hesabı kullanılarak aktarılmaktadır. Taşınabilir bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmekte ve kriptografik anahtar farklı ortamda tutulmaktadır. Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya SFTP yöntemiyle veri aktarımı gerçekleştirilmektedir. Kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınmakta ve evrak “gizli” formatta gönderilmektedir.


11.2 İdari Tedbirler

Şirket tarafından kişisel verilerin güvenli ortamlarda saklanması için alınan başlıca idari tedbirler aşağıda sıralanmaktadır:

  • Çalışanların niteliğinin geliştirilmesine yönelik, kişisel verilerin hukuka aykırı olarak işlenmenin önlenmesi, kişisel verilerin hukuka aykırı olarak erişilmesinin önlenmesi, kişisel verilerin muhafazasının sağlanması, iletişim teknikleri, teknik bilgi beceri, ve ilgili diğer mevzuat hakkında eğitimler verilmektedir.
  • Şirket tarafından kişisel verilerin saklanması ve işlenmesi konusunda teknik gereklilikler sebebiyle dışarıdan bir hizmet alınması durumunda, kişisel verilerin hukuka uygun olarak aktarıldığı ilgili firmalar ile akdedilen sözleşmelere; kişisel verilerin aktarıldığı kişilerin, kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlanacağına ilişkin hükümlere yer verilmektedir,
  • Şirket tarafından yürütülen faaliyetlere ilişkin çalışanlara gizlilik sözleşmeleri imzalatılmaktadır.
  • Kişisel Veri İşlemeye başlamadan önce Şirket, ilgili kişileri aydınlatma yükümlülüğünü yerine getirmektedir.
  • Kişisel Veri İşleme envanteri hazırlanmıştır.
  • Şirket içi periyodik ve rastgele denetimler yapılmaktadır.
  • Çalışanlara yönelik bilgi güvenliği eğitimleri verilmektedir.
  • Şirket’in yürütmekte olduğu tüm faaliyetler detaylı olarak tüm iş birimleri özelinde analiz edilerek, bu analiz neticesinde ilgili iş birimlerinin gerçekleştirmiş olduğu şirket faaliyetleri özelinde kişisel veri işleme faaliyetleri ortaya konulmaktadır.
  • Şirket departmanlarının yürütmekte olduğu Kişisel Veri İşleme faaliyetleri, bu faaliyetlerin Kanun’un aradığı Kişisel Veri İşleme şartlarına uygunluğun sağlanması için yerine getirilecek olan gereklilikler her bir iş birimi ve yürütmekte olduğu detay faaliyet özelinde belirlenmektedir.
  • Departman bazında belirlenen hukuksal uyum gerekliliklerinin sağlanması için ilgili iş birimleri özelinde farkındalık yaratılmakta ve uygulama kuralları belirlenmekte; bu hususların denetimini ve uygulamanın sürekliliğini sağlamak için gerekli idari tedbirler şirket içi politikalar ve eğitimler yoluyla hayata geçirilmektedir.
  • Şirket ile Çalışanlar arasındaki hukuki ilişkiyi yöneten sözleşme ve belgelere, Şirket’in politikaları, prosedürleri, iş talimatları ve Kanunla getirilen istisnalar dışında, Kişisel Verileri İşlememe, ifşa etmeme ve kullanmama yükümlülüğü getiren kayıtlar konulmakta ve bu konuda çalışanların farkındalığı yaratılmakta ve denetimler yürütülmektedir.


12. KİŞİSEL VERİLERİN İMHA EDİLMESİ İŞLEMİ İLE İLGİLİ UYGULANAN YÖNTEMLER VE KİŞİSEL VERİLERİN HUKUKA UYGUN OLARAK İMHA EDİLMESİ İÇİN ALINMIŞ TEKNİK VE İDARİ TEDBİRLER


Şirket, Kanun’un 5 inci ve 6 ncı maddelerinde yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde, kişisel verileri aşağıdaki yöntemlerle silmekte, yok etmekte veya anonim hale getirmektedir.
İmha kapsamında gerçekleştirilen tüm işlemler Şirket tarafından kayıt altına alınmakta ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanmaktadır.

Şirket, Kurul tarafından aksine bir karar alınmadıkça, kişisel verileri re’sen silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanını teknolojik imkanlar ve uygulama maliyetine göre seçmekte olup, kişisel veri sahibinin talebi halinde uygun yöntemin gerekçesini açıklamaktadır.


Şirket tarafından Kişisel Verilerin hukuka uygun olarak imha edilmesini sağlamak için alınan başlıca teknik tedbirler aşağıda sıralanmaktadır:

  • Teknik konularda uzman personel istihdam edilmektedir.
  • Şirket içerisinde bulunan ve kişisel verileri taşıyan cihazlar, artık kullanılmaz duruma gelmişse ve dışarıya satılma ya da bırakılma durumu olacaksa cihaz içindeki veriler yok edilmekte, bu mümkün değilse cihaz yok edilmektedir.
  • Kapalı Devre Görüntü İzleme Sistemi (CCTV-Closed Circuit Television)’nde yer alan kişisel veriler 90 gün sonra sistem tarafından otomatik olarak silinmektedir.

Şirket tarafından kişisel verilerin hukuka uygun olarak imha edilmesini sağlamak için alınan başlıca idari tedbirler aşağıda sıralanmaktadır:

  • Şirket içerisinde yürütülmekte olan tüm faaliyetler detaylı olarak tüm departmanlar özelinde analiz edilerek, bu analiz neticesinde ilgili departmanların gerçekleştirmiş olduğu şirket faaliyetleri özelinde Kişisel Veri imha faaliyetleri ortaya konulmaktadır.
  • Departmanların yürütmekte olduğu Kişisel Veri imha faaliyetleri; bu faaliyetlerin Kanun’un ve Kişisel Verilerin Silinmesi, Yok Edilmesi, Anonim Hale Getirilmesi Hakkında Yönetmeliğin aradığı kişisel veri imha şartlarına uygunluğun sağlanması için yerine getirilecek olan gereklilikler her bir departman ve yürütmekte olduğu detay faaliyet özelinde belirlenmektedir.
  • Departman bazında belirlenen hukuksal uyum gerekliliklerinin sağlanması için ilgili departman özelinde farkındalık yaratılmakta ve imha uygulama kuralları belirlenmekte; bu hususların denetimini ve uygulamanın sürekliliğini sağlamak için gerekli idari tedbirler şirket içi politikalar ve eğitimler yoluyla hayata geçirilmektedir.
  • Şirket ile çalışanlar arasındaki hukuki ilişkiyi yöneten sözleşme ve taahhütnamelere, kişisel verilerin işlenmesi, korunması ve imhasına dair maddeler konulmakta ve bu konuda çalışanların farkındalığı arttırılmaktadır.


a) Kişisel Verilerin Silinme Yöntemleri

Kişisel Verilerin silinmesi, Kişisel Verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Şirket, silinen Kişisel Verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için teknolojik imkanlar ve uygulama maliyetine göre gerekli her türlü teknik ve idari tedbirleri almaktadır.
Bu kapsamda Şirket Kişisel Verileri silme işlemi için aşağıdaki yöntemleri uygulamaktadır:

Veri Kayıt OrtamıAçıklama
Sunucularda Yer Alan Kişisel VerilerSunucularda yer alan Kişisel Verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır.
Elektronik Ortamda Yer Alan Kişisel VerilerElektronik ortamda yer alan Kişisel Verilerden saklanmasını gerektiren süre sona erenler, Bilgi Sistemleri Yöneticisi hariç diğer çalışanlar (İlgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.
Fiziksel Ortamda Yer Alan Kişisel VerilerFiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır.
Taşınabilir Medyada Bulunan Kişisel VerilerFlash tabanlı saklama ortamlarında tutulan Kişisel Verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır.

b) Kişisel Verilerin Yok Edilme Yöntemleri

Kişisel Verilerin yok edilmesi, Kişisel Verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Şirket, Kişisel Verilerin yok edilmesiyle ilgili teknolojik imkanlar ve uygulama maliyetine göre gerekli her türlü teknik ve idari tedbirleri almaktadır.

Bu kapsamda Şirket, Kişisel Verileri yok etme işlemi için aşağıdaki yöntemleri uygulamaktadır:

Veri Kayıt OrtamıAçıklama
Fiziksel Ortamda Yer Alan Kişisel VerilerKâğıt ortamında yer alan Kişisel Verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir.
Optik / Manyetik Medyada Yer Alan Kişisel VerilerÇeşitli teknolojik yöntemler kullanılarak fiziksel olarak yok edilmesi işlemi uygulanır.

c) Kişisel Verilerin Anonim Hale Getirilme Yöntemleri

Kişisel Verilerin anonim hale getirilmesi, Kişisel Verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.

Kişisel Verilerin anonim hale getirilmiş olması için Kişisel Verilerin, Şirket’in, alıcı veya alıcı grupları tarafından geri döndürme ve verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekmektedir. Şirket, Kişisel Verilerin anonim hale getirilmesiyle ilgili teknolojik imkanlar ve uygulama maliyetine göre gerekli her türlü teknik ve idari tedbirleri almaktadır.


13. SAKLAMA VE İMHA SÜRELERİ


Şirket, Kişisel Verileri ancak uymakla yükümlü olduğu ilgili mevzuatta belirtildiği veya işlendikleri amaç için gerekli olan süre kadar muhafaza ettikten sonra imha etmektedir.
Bu kapsamda Şirket, faaliyetleri çerçevesinde işlemekte olduğu Kişisel Verileri işbu Politika’nın 8 inci maddesinde belirtilen süreler boyunca saklamakta ve Saklama süresinin bitimini takip eden ilk periyodik imha süresinde imha etmektedir.
Kişisel Veri sahibinin, Şirket’e başvurarak kendisine ait Kişisel Verilerin imha edilmesini talep etmesi halinde Şirket:
a) Kişisel Verileri işleme şartlarının tamamı ortadan kalkmışsa:

  • Kişisel Veri Sahibinin talebini en geç otuz gün içinde sonuçlandırır ve kişisel veri sahibine bilgi verir.
  • Talebe konu olan Kişisel Veriler üçüncü kişilere aktarılmışsa, bu durumu üçüncü kişiye bildirir; üçüncü kişi nezdinde gerekli işlemlerin yapılmasını temin eder.

b) Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, Kişisel Veri Sahibinin talebini Kanun’un 13 üncü maddesinin üçüncü fıkrası uyarınca gerekçesini açıklayarak reddedilebilir ve ret cevabını Kişisel Veri Sahibine en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirir.


14. PERİYODİK İMHA SÜRELERİ


Şirket, Kişisel Verileri imha etme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, Kişisel Verileri imha etmektedir. Bu kapsamda Şirket, Kişisel Verileri imha etme yükümlülüğünün ortaya çıkması halinde kişisel verileri Mevzuat’ta yazan maksimum süreli periyotlar halinde imha işlemine tabi tutmaktadır. Anılan süre, her hal ve koşulda Yönetmelik’in 11 inci maddesinde belirtilen azami periyodik imha süresini aşmamaktadır.


15. KİŞİSEL VERİ SAHİBİNİN HAK VE YÜKÜMLÜLÜKLERİ


15.1 Yükümlülükler 

Veri sahipleri, Şirket’le paylaşmış oldukları Kişisel Verilerin doğru, eksiksiz ve güncel olmasından ve diğer kişilere ait kişisel veriler paylaşılıyorsa işbu verilerin geçerli ve mevzuata uygun şekilde toplanmasından sorumludur. Verisi işlenen kişi, şirkete Kişisel Verilerini sağladığı diğer kişileri bu bildirimin içeriği hakkında bilgilendirecek ve Kişisel Verilerinin Şirket tarafından bu bildirimde belirtildiği şekilde (transfer ve açıklama dahil) kullanılması için onaylarını almakla yükümlüdür.


15.2 Haklar

KVKK ve ilgili mevzuat kapsamda Kişisel Veri Sahipleri;

Kişisel verilerinin işlenip işlenmediğini öğrenme,

  • Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
  • Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
  • Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
  • Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  • Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  • İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
  • Kişisel Verilerin Kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme, haklarına sahiptir.

Kişisel Veri Sahipleri, haklarına ilişkin taleplerini içerir başvurularını açık, anlaşır bir şekilde ve kimlik ve adres bilgilerini tespit edici belgeleri de ekleyerek; yazılı ve ıslak imzalı olarak elden, postayla ya da noter kanalıyla Veri Sorumlusu Şirket’in “İşçi Blokları Mahallesi Mevlana Bulvarı No: 162/3 Çankaya-Ankara” adresine ulaştırabilir yahut da [email protected] PTT KEP adresine iletebilir.

Şirket, cevap vermeden önce kimlik doğrulama hakkına sahip olmakla birlikte yapılan başvuruda;

  • İsmin, soy ismin ve başvuru yazılı ise imzanın,
  • Türkiye Cumhuriyeti vatandaşları için T.C. kimlik numarasının, başvuru sahibi yabancı ise uyruğunun, pasaport numarasının veya varsa kimlik numarasının,
  • Tebligata esas yerleşim yeri veya iş yeri adresinin,
  • Varsa bildirime esas elektronik posta adresi, telefon ve faks numarasının,
  • Talep konusunun,

Bulunması zorunlu olup varsa konuya ilişkin bilgi ve belgelerin de başvuruya eklenmesi gerekmektedir. Taleplerin yukarıda belirtilen şekilde Şirket’e iletilmesi durumunda Şirket, talebin niteliğine göre talebi en kısa sürede ve en geç otuz gün içinde sonuçlandıracaktır.


15.3 Kişisel Verilere ilişkin Kanuni Hakların Kullanılmasına ilişkin Esaslar 

İlgili kişiler, işbu Politika’nın 15 inci maddesinde (“Kişisel Veri Sahibini Hak ve Yükümlülükleri”) sayılmış haklarına ilişkin taleplerini Kurul’un belirlemiş olduğu yöntemlerle Şirketimize iletebileceklerdir. Bu doğrultuda www.tunas.gov.tr adresinden ulaşılabilecek “TÜNAŞ Veri Sahibi Başvuru Formu”ndan yararlanabileceklerdir.


16. YÜRÜRLÜK


Şirket tarafından düzenlenerek onay tarihinde yürürlüğe giren işbu Politika değişen şartlara ve mevzuata uyum sağlamak amacıyla zaman zaman güncellenebilecektir. Politika Şirket’in internet sitesinde (www.tunas.gov.tr) yayımlanır ve Kişisel Veri Sahiplerinin talebi üzerine ilgili kişilere de iletilir.
İşbu Politika ile Kanun ve Yönetmelik hükümleri arasında herhangi bir çelişki olması halinde, yürürlükteki mevzuat hükümleri geçerli olacaktır.

ŞİRKET İLETİŞİM BİLGİLERİ:İşçi Blokları Mahallesi Mevlana Bulvarı No: 162/3 Çankaya-Ankara
Tel:0 (312) 285 00 21
Fax:www.tunas.gov.tr
PTT KEP:[email protected]


Ek-1 Personel Unvan, Birim ve Görev Listesi 

Kişisel verileri saklama ve imha süreçlerinde yer alanların unvanlarına, birimlerine ve görev tanımlarını içerir liste TÜNAŞ nezdinde gizli olarak tutulmaktadır.


Kapalı Devre Kamera Kayıt Sistemleri Aydınlatma.pdf