07.04.2016 tarihinde yayımlanarak yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”, “Kanun”) uyarınca ; Birebir Eğitim Vakfı, Birebir Eğitim Vakfı İktisadi İşletmesi ve MOT Bilişim A.Ş. olarak kişisel verilerinizin güvenliği konusunda gerekli özen ve hassasiyeti göstermekteyiz.

Amacımız; sizlerin memnuniyeti doğrultusunda, kişisel verilerinizin işlenme amaçları, kimlere ve hangi amaçla aktarılabileceği, toplanma yöntemi, işlemenin hukuki nedenleri ve haklarınız konularında sizleri en şeffaf şekilde bilgilendirmektir.

Bu özen ve hassasiyet doğrultusunda, iletmiş olduğunuz tüm kişisel verileri Kanun’a uygun olarak, aşağıda izah edildiği şekilde ve mevzuat tarafından emredilen sınırlar çerçevesinde işlemekte ve muhafaza etmekteyiz. Bu kapsamda “Veri Sorumlusu” sıfatıyla, kişisel verilerinizi yasal düzenlemelerin imkân verdiği ölçüde kullanmakta, bu verileri işleme amacının gerektirdiği ölçüde personelimiz ve ilgili iş ortaklarımız ve personelinin erişimine açmaktayız.

KVKK uyarınca, kişisel verileriniz; veri sorumlusu olarak Birebir Eğitim Vakfı, Birebir Eğitim Vakfı İktisadi İletmesi ve MOT Bilişim A.Ş. (Bundan böyle hepsi birlikte Veri Sorumluları olarak anılacaktır.) tarafından işbu aydınlatma metninde açıklanan kapsamda işlenebilecektir.

Toplanan kişisel verileriniz;

• Veri sorumluları tarafından yürütülen faaliyetlerden sizleri faydalandırmak için gerekli çalışmaların iş birimlerimiz tarafından yapılması;
• Veri sorumlularının proje ve hizmet politikalarının yürütülmesinin temini;
• Veri sorumluları olarak, bizlerle ve karşılıklı koordinasyon içerisinde olduğumuz kişilerin hukuki ve ticari güvenliğinin sağlanması;
• Amaçlarımızı gerçekleştirmek adına faaliyetlerimizi yürütmek çerçevesinde Kanun’un 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartları ve amaçları kapsamında işlenecektir.

Toplanan kişisel verileriniz Veri Sorumluları tarafından yürütülen faaliyetlerden sizleri faydalandırmak için gerekli çalışmaların iş birimlerimiz tarafından yapılması, proje ve hizmet politikalarının yürütülmesinin temini ve amaçlarımızı gerçekleştirmek adına;

• İşbirliği içinde olduğumuz kamu kurum ve kuruluşları ile özel sektörde faaliyet gösteren gerçek ve tüzel kişiler, faaliyetlerimizi yürütmek üzere hizmet aldığımız, işbirliği yaptığımız program ortağı kuruluşlar, yurtiçi / yurtdışı kurum ve kuruluşlar, bankalar ve diğer 3. Kişilere Kanun’un 8. ve 9. maddelerinde belirtilen kişisel veri işleme şartları ve amaçları çerçevesinde belirtilen amaçlarla sınırlı olarak aktarılabilecektir.

Kişisel verileriniz MOT tarafından internet sitesi ve fiziki kanallar gibi farklı kanallarda yürütülen yöntemlerle; bu kanallar kullanılarak yürütülen faaliyetler kapsamında uygulanan ilgili mevzuat, sözleşme, talep, ticari teamül ve dürüstlük kurallarına dayalı olarak ortaya çıkan ve icra edilen hukuki sebepler çerçevesinde toplanmaktadır.

Bu hukuki sebeple toplanan kişisel verileriniz KVKK 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartları ve amaçları kapsamında bu aydınlatma metninin (2) ve (3) maddelerinde belirtilen amaçlarla işlenebilmekte ve aktarılabilmektedir.

Kullanılmakta olan internet tarayıcısı aracılığı ile internet ağ sunucusu tarafından kullanıcıların cihazlarına gönderilen küçük veri dosyaları çerez olarak anılmakta olup, internet siteleri bu çerezler vasıtası ile kullanıcıları tanımaktadır ve çerezlerin ömrü tarayıcı ayarlarına bağlı olarak farklılaşmaktadır.

Bu kapsamda kişisel veri sahipleri;

• Kişisel veri işlenip işlenmediğini öğrenme,
• Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
• Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
• Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
• Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
• Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
• İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
• Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahiptir.

Kanun’un 13. maddesinin 1. fıkrası gereğince yukarıda belirtilen haklarınızı kullanmakla ilgili talebinizi yazılı olarak veya Kişisel Verilerin Korunması Kurulu’nun belirlediği diğer yöntemlerle iletmeniz gerekmektedir.

Veri sorumlularının, iş ortakları ve ilgili diğer üçüncü kişiler ile gerçekleştirdiği işlemlere ilişkin kayıt ve belgeleri yasal düzenlemeler kapsamında belirli bir süre saklama yükümlülüğü olacağından, kişisel verilerinizin silinmesini veya yok edilmesini ya da anonimleştirilmesini istemeniz halinde bu talep veri sorumluları tarafından yasal düzenlemeler ile belirlenen süre sonunda yerine getirilecektir.

Yukarıda belirtilen haklarınızı kullanmak için kimliğinizi ispat edici gerekli bilgi ve belgeler ve Kanun’un 11. maddesinde belirtilen haklarınızdan hangisini kullanmak istediğinize yönelik açıklamalarınızla birlikte talebinizi Şehit Muhtar Mahallesi, Kurabiye Sokak No:8 Beyoğlu/İstanbul adresine yazılı olarak veya info@inekle.com e-posta adresimize iletebilirsiniz.

İşbu Kişisel Veri Saklama İmha ve Anonimleştirme Politikası (“Politika”); , Birebir Eğitim Vakfı, Birebir Eğitim Vakfı İktisadi İletmesi ve MOT Bilişim A.Ş. (Bundan böyle hepsi birlikte Veri Sorumluları olarak anılacaktır.) nin kişisel verileri işlediği herhangi bir sürece dâhil olan tüm departmanlarını, çalışanlarını ve 3. partileri kapsamaktadır.

İşbu Politika; Veri Sorumlularının kişisel veriler üzerinde uygulayacağı tüm imha faaliyetlerini kapsayacak olup, her türlü imha gereksinimi sonucunda uygulanacaktır. İşbu Politika kişisel veri olmayan veriler hakkında uygulanmayacaktır.

Konuyla alakalı yeni mevzuatın belirlenmesi veya ilgili mevzuatın güncellenmesi durumunda, Veri Sorumluları politikasını ilgili mevzuata uyumlu olacak şekilde güncelleyerek mevzuat gerekliliklerine uyacaktır. İşbu Politika’nın Veri Sorumluları uygulanmasında hukuki bir engel olduğuna kanaat getirildiği durumlarda, Veri Sorumluları uygulayacağı adımları, gerek görülmesi durumunda Hukuk Birimi’ne ve Üst Yönetime danışarak, yeniden belirleyebilecektir.

Kanun: 6698 Sayılı Kişisel Verilerin Korunması Kanunu’dur.

Yönetmelik: Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Haline Getirilmesi Hakkında Yönetmelik’tir.

Kurul: Kişisel Verileri Koruma Kurulu’dur.

Kayıt ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortama verilen addır.

Kişisel veri işleme envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçlarını, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve detaylandırdıkları envanterdir.

İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesidir.

Periyodik imha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha Politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemidir.

Sicil: Başkanlık tarafından tutulan Veri Sorumluları Sicilidir.

Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemidir.

Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir.

Alıcı grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisidir.

İlgili kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişilerdir.

Kişisel Verilerin Korunması Politikası içerisinde bulunan tanımlar işbu Politika için de geçerlidir.

İşbu Politika, Kanunun 7.maddesi uyarınca oluşturulan Yönetmelik içerisinde yer alan kişisel verilerin silinmesinden, yok edilmesinden veya anonimleştirilmesinden sorumlu olan gerçek veya tüzel kişiler hakkında uygulanacak ve Veri Sorumluları ile Veri Sorumlularının sözleşmesel olarak sorumlu kıldığı üçüncü kişiler tarafından uyulması gereken esasları belirleyecektir.

Yönetmelik uyarınca Veri Sorumluları, Sicile kayıt yükümlülüğü olan bir Veri Sorumlusu olarak, uhdesinde bulunan kişisel verileri kişisel veri envanterine uygun bir şekilde saklamak ve gerektiğinde silmek, yok etmek ya da anonim hale getirmek için bir Politika hazırlamak ve bu Politikaya uygun hareket etmek ile yükümlüdür. Kişisel verilerin saklanması ve imhasında aşağıdaki ilkeler geçerli olacaktır:

a) Kanunun 4 üncü maddesindeki genel ilkelere uyulacaktır.

b) Veri Sorumluları, işbu Politikayı hazırlamış olmanın tek başına kişisel verilerin Yönetmelik, Kanun ve ilgili mevzuata uygun olarak silindiği, yok edildiği veya anonim hale getirildiği anlamına gelmeyeceğini kabul etmektedir.

c) Veri Sorumluları, kişisel verileri saklarken yahut silerken, yok ederken veya anonim hale getirirken, Kanunun 12. Maddesinde yer alan güvenlik tedbirlerine, ilgili mevzuatta yer alan hükümlere, Kişisel Verileri Koruma Kurulu’nun alacağı kararlara ve Politikaya uygun hareket edeceğini kabul, beyan ve taahhüt eder.

d) Veri Sorumluları, bünyesinde bulundurduğu kişisel verilerin amacı tamamen veya kısmen otomatik olan ya da herhangi bir kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin silinmesi, yok edilmesi veya anonimleştirilmesi sırasında İşbu Politika’ya bağlı olarak uygulanacak araç, program ve süreçlere uygunluk sağlayacağını taahhüt eder.

Veri Sorumluları, İşbu Politika ile kişisel veri içeren ve aşağıda sayılmış olan ortamlar ve bunlara ek olarak ortaya çıkabilecek diğer ortamlardaki kişisel verileri Politikanın kapsamına dahil etmeyi kabul eder.

a. Veri Sorumluları adına kullanılan bilgisayarlar/sunucular

b. Ağ cihazları,

c. Ağ üzerinde veri saklanması için kullanılan paylaşımlı/paylaşımsız disk sürücüleri

d. Bulut sistemleri,

e. Mobil telefonlar ve içerisindeki tüm saklama alanları,

f. Kağıt,

g. Mikrofiş,

h. Yazıcı, Parmak izi okuyucu gibi çevre birimler,

i. Manyetik bantlar,

j. Optik diskler,

k. Flash hafızalar.

Aşağıda belirtilen kapsamda bir ihlal olması durumunda Potansiyel Güvenlik ihlal durumu kabul edilerek Veri Sorumluları tarafından aksiyon alınacaktır. Veri Sorumluları, kişisel verilerin güvenli bir şekilde saklanması ile hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile ilgili gerekli teknik ve idari tedbirleri alır.

Veri Sorumluları, kişisel verileri Kanun’da belirtildiği şekle aykırı olarak işlemeyeceğini taahhüt eder. Veri Sorumluları, Kanun’un 5 ve 6. maddelerindeki kişisel verilerin işlenmesi şartlarındaki istisnalar mevcut olmadığı sürece;

a) Kanun’da belirtilen istisnalar dışında açık rızasını almadığı kişilerin kişisel verilerini saklamaz.

b) Veri Sorumluları, özel nitelikli kişisel verileri sakladığı durumlarda, verileri ilgili mevzuata bağlı kalarak Veri Sorumluları KVKK Çalışma Grubu’nun bilgisi dâhilinde işler.

Veri Sorumluları, veri işlenme şartlarının güncelliğinden sorumludur ve bu sorumluluğunu tüm çalışanları ile paylaşır.

Çalışanlar, veri işlenme şartlarının ortadan kalktığı durumlarda veri işlemeye devam edemez. Veri Sorumluları Bilgi İşlem Departmanı, şartların ortadan kalktığı ortamları İşbu Politika’ya uygun bir şekilde ortadan kaldırmakla yükümlüdür.

Veri Sorumluları aşağıda listelenen ve Yönetmelik içinde de belirtilen ilgili durumlarda veri işlenme şartlarının ortadan kalktığını kabul eder:

a) Kişisel verileri işlemeye esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya yürürlükten kaldırılması,

b) Taraflar arasındaki sözleşmenin hiç kurulmamış olması, sözleşmenin geçersiz olması, sözleşmenin kendiliğinden sona ermesi, sözleşmenin feshi veya sözleşmeden dönülmesi,

c) Kişisel verilerin işlenmesini gerektiren amacın ortadan kalkması,

d) Kişisel verileri işlemenin hukuka veya dürüstlük kuralına aykırı olması,

e) Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması,

f) İlgili kişinin, Kanunun 11 inci maddesinin (e) ve (f) bentlerindeki hakları çerçevesinde kişisel verileri işleme faaliyetine ilişkin yaptığı usule uygun başvurunun veri sorumlusu tarafından kabulü,

g) Veri sorumlusunun, ilgili kişi tarafından kişisel verilerinin silinmesi veya yok edilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması

h) Kişisel verilerin saklanmasını gerektiren azami süre geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması.

Kişisel verilerin imhası, verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi şeklinde üç farklı şekilde sağlanabilir. İmha işlemindeki amaç, kalan veriler ile gerçek kişiye ulaşabilmenin mümkün olmamasıdır. Veri Sorumluları, kişisel verilerin hukuka uygun olarak silinmesi, yok edilmesi ve anonim hale getirilmesi ile ilgili gerekli her türlü teknik ve idari tedbirleri alır.

Tamamen veya kısmen otomatik yollarla işlenen kişisel verilerin silinmesi; söz konusu kişisel verilerin ilgili kullanıcılar tarafından hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

Veri sorumlusu, ilgili politika ve prosedürlerinde kişisel verilerin silinmiş sayılması için üçüncü fıkrada belirtilen koşulların nasıl sağlandığını açıklar. Herhangi bir veri kayıt sisteminin parçasını teşkil eden ve otomatik olmayan yollarla işlenen kişisel verilerin silinmesi; Tarama yoluyla veya sayısallaştırılmadan elektronik ortama aktarılan kağıt halindeki gerekli olmayan kişisel verilerin anonimleştirilmesi yoluyla gerçekleştirilme işlemi, Veri Sorumlularının verileri tamamen veya otomatik yollarla işlediği durumlarda yapılacaktır ve Veri Sorumluları, kişisel verileri sildiği durumlarda, verileri hiçbir şekilde erişilemez veya tekrar kullanılamaz hale getirmelidir. Veri Sorumluları, bu işlemi yaparken verilerin hiçbir kullanıcı tarafından erişilemez veya tekrar kullanılamaz olduğunu garanti etmelidir. Bu garanti, veri sorumlusunun sorumluluğu altındadır.

Silme sırasında, silinmemesi gereken kişisel veriler de yapılan silmeden etkileniyorsa ve erişilemeyecek ve/veya kullanılamayacak hale geliyorsa Veri Sorumluları KVKK Çalışma Grubu’nun karar alarak uygulayabileceği aşağıdaki yöntemlerin bir arada sağlanması da silme olarak değerlendirilecektir:

a) Kişisel verilerin ilgili kişiyle ilişkilendirilemeyecek şekilde arşivlenmesi

b) Kişisel verilerin her türlü erişime kapalı olması

Kişisel verilere yalnızca gerekli durumlarda yalnızca yetkili kişiler tarafından erişilmesini sağlayacak şekilde gerekli her türlü teknik ve idari tedbirlerin alınması

Belirtilen silme sayma yöntemleri, Yönetmelik’e bağlı olup ilgili durumlarda güncellenmesi Veri Sorumlusu’nun sorumluluğundadır.

Yok etme işlemi, Veri Sorumlularının verileri fiziksel kayıt ortamlarında işlediği durumlarda yapılacaktır ve Veri Sorumluları bu verileri tekrar geri getirilmesi mümkün olmayacak hale getirmekle yükümlüdür. Bu işlemler sırasında Veri Sorumluları çalışanları ve ilgili departmanlar KVKK Çalışma Grubu’na yok edilecek ilgili verileri bildirmekle yükümlüdür, sonrasında ise Veri Sorumluları gerekli her türlü teknik ve idari tedbiri alacaktır.

Anonim hale getirme işlemi, Veri Sorumlularının kişisel verileri tamamen veya otomatik yollarla işlediği durumlarda, bu verilerin başka verilerle eşleştirilse dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Kişisel verilerin anonimleştirilmesi Veri Sorumluları içerisinde veri sahibi iş biriminin görevidir. Veri sahibi iş birimi, verilerin yok edilmesi için denetimi kendisi tarafından yapılmak kaydıyla Veri Sorumlularının farklı departmanlarından destek alabilir. Verilerin anonimleştirilmesi sırasında Veri Sorumluları, tek yönlü fonksiyonlar ile şifreleme gibi yöntemler kullanılabilir. Uygulanacak yöntemin doğruluğundan emin olunamadığı durumlarda KVKK Çalışma Grubu’na danışılmalıdır.

Kişisel verilerin imhası için Veri Sorumluları, imha sırasında kullanılabilecek tüm yöntemleri İşbu Politika’da tanımlar. Veri sahibi iş birimi, İşbu Politika içerisindeki uygun yöntemi uygun duruma göre belirleyerek uygulamakla yükümlüdür.

Kişisel verilerin imhası sırasında Veri Sorumluları çalışanları aşağıdaki yöntemlerden uygun olanı seçerek imhayı gerçekleştirir:

Manyetik medya ve yeniden yazılabilir optik medya üzerine yazılımlarla en az 8 kez 0 ve 1’lerden oluşan rassal veriler yazılarak eski verinin okunamaz hale getirilmesi işlemidir.

Manyetik medyanın yüksek değerde manyetik alanda fiziksel değişime sokularak üzerindeki verinin okunamaz hale getirilmesi işlemidir.

Optik medya veya manyetik medyanın eritme, toz haline getirme, öğütme ve benzeri işlemlerle fiziksel olarak yok edilmesi işlemidir. Manyetize etme veya üzerine yazma metotlarının başarısız olduğu durumlarda uygulanabilir.

Bulut sistemler üzerinde tutulan kişisel verilerin imha bildiriminin anlaşmalı servis sağlayıcıya yapılmasının ardından kişisel verilerin şifreleme anahtarlarının tüm kopyalarının imha edilmesi işlemidir.

Yazıcı, parmak izi ünitesi, kapı giriş turnikesi gibi sistemler içerisinde yer alan kişisel verileri barındıran mevcut ise iç ünite, mevcut değil ise tüm cihaz üzerinde üzerine yazma, manyetize etme veya fiziksel yok etme uygulanarak yapılması gereken imha işlemidir. Bu tip imhaların, cihazların yedekleme, bakım ve benzeri işlemlere tabi olmasından önce uygulanması zorunludur.

Yasal saklama ve imha sürelerini dolduran fiziksel ve dijital veriler, periyodik olarak imha edilir. Veri Sorumluları, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim hale getirir. Periyodik imha, tüm kişisel veriler için 6 aylık zaman aralıklarında gerçekleştirilir.

Silinen, yok edilen ve anonim hale getirilen verilere ilişkin işlemlerin diğer hukuki yükümlülüklerden ari en az 3 yıl süre ile saklanır.

Veri sahiplerinin Veri Sorumlularına başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiği durumlarda kişisel verileri işleme şartlarının mevcut durumunu kontrol eder ve buna bağlı ilgili aksiyonları alır.

Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa talebe konu kişisel verileri siler, yok eder veya anonim hale getirir. Veri Sorumluları, ilgili kişinin talebini en geç otuz gün içinde sonuçlandırır ve ilgili kişiye bilgi verir.

Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa veri sorumlusu bu durumu üçüncü kişiye bildirir; üçüncü kişi nezdinde Yönetmelik kapsamında gerekli işlemlerin yapılmasını temin eder.

Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, Veri Sorumluları ilgili veri sahibine gerekçesini açıklayarak talebi reddedebilir ve ret cevabını ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirir.

1. İlgili mevzuatta yapılacak her türlü resmi değişikliğin ardından bu değişiklerle uyumlu olacak şekilde Veri Sorumluları tarafından İşbu Politika’da değişiklik yapılabilir.

2. Veri Sorumluları, Politika üzerinde yaptığı değişiklikler incelenebilecek olacak şekilde güncellenen Politika’yı intranet yolu ile çalışanlarıyla paylaşacak ve kurumsal internet üzerinden çalışanlarının erişimine sunacaktır.

İşbu Politika yayın tarihiyle yürürlüğe girmiştir.

İşbu Politika, kişisel verilerin aktarılmasına yönelik kurallar bütününün açıklayarak gerekli bilgilendirmeleri yapmak amacıyla hazırlanmış olup, Birebir Eğitim Vakfı, Birebir Eğitim Vakfı İktisadi İletmesi ve MOT Bilişim A.Ş. (Bundan böyle hepsi birlikte Veri Sorumluları olarak anılacaktır.) tarafından onaylanarak yürürlüğe girmiştir.

1. İşbu Politika; Veri Sorumlularının tüm departmanlarını ve çalışanlarını kapsamaktadır.

2. İşbu Politika, Veri Sorumluları birimlerinin kullandığı ve içerisinde kişisel veri barındıran tüm iletişim türlerini kapsar.

3. İşbu Politika kişisel veri olmayan veriler hakkında uygulanmayacaktır.

4. Yeni mevzuatlar ile belirlenmesi durumunda Veri Sorumluları kişisel veriler üzerinde yeni mevzuatlara uyumlu olacak şekilde politikasını güncelleyerek mevzuat gerekliliklerine uyacaktır.

5. İşbu Politika’nın Veri Sorumluları tarafından uygulanmasında hukuki bir engel olduğuna kanaat getirildiği durumlarda, Veri Sorumluları uygulayacağı adımları, gerek görülmesi durumunda Hukuk Birimi’ne ve Üst Yönetime danışarak, yeniden belirleyecektir.

Yönetmelik Kişisel Verilerin Aktarımı Hakkında yayınlanması beklenen ve yurt dışı aktarımda güvenli ülkeleri belirleyecek olan Yönetmelik’tir.

İşbu Kişisel Veri Aktarım Politikası (“Politika”), 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun 8 ve 9. maddeleri sonucu ve uyarınca oluşturulacak olan “ilgili yönetmelik” içerisinde yer alan kişisel verilerin yurt içi ve yurt dışı aktarımından sorumlu olan gerçek veya tüzel kişisel hakkında uygulanacak ve Veri Sorumluları içerisinde ve/veya Veri Sorumluları tarafından uyulması gereken esasları belirleyecektir.

Fiziksel ortamdaki kişisel veriler, kişisel verilerin okunabilir olduğu elektronik ortam dışındaki tüm kişisel verileri kapsamaktadır. İşbu Kişisel Veri Aktarım Politikası’nın bu bölümünde kişisel verilerin fiziki olarak transferi ile ilgili gereklilikler anlatılmaktadır. Veri Sorumluları çalışanları aksi belirtilmediği sürece fiziksel ortamda bir kişisel veri aktarımı yapıyorsa İşbu Politika’ya bağlı kalmak zorundadır. Çalışan aksi durumda bir aktarım yaptığı veya aktarımın yapıldığına şahit olduğu durumlarda, durumu KVKK Çalışma Grubu’na bildirmekle yükümlüdür. Fiziksel ortamda veri aktarımı yapan çalışan veya departman, aktarılacak olan kişisel veriler alınırken kişinin açık rızası alındığını ispatlayabilir olmalıdır. Açık rıza alınmadan aktarılan kişisel verilerde, sorumluluk yalnızca veriyi elde edende sayılamaz. Aktarım yapan kişi veya departman aktardıkları kişisel veriler üzerinde, veri işleyen ile ayrı tutulamaz derecede bir sorumluluk derecesine sahiptir.

Açık rıza alınmadan verilerin aktarılması yalnızca kanunda (8 inci maddenin ikinci fıkrası) belirtilen istisnaların sağlandığı durumlarda geçerlidir. Bu istisnalar dışında kalan tüm durumlarda, kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz. Kişi istisnanın geçerliliğinden emin olamıyorsa KVKK Çalışma Grubu’na danışarak aktarım yapmalıdır.

Kişisel Veri içeren fiziki dokümanlar aktarılırken işlenemez olmalıdır. Aktarım sırasında doküman üzerindeki kişisel veri aktarımı yapan kişi tarafından dahi görülmemelidir. Bu sebeple aktarım dosyaların fiziki boyutuna bağlı olarak, kişisel veriler aktarım yapılacak kişiye ulaşmadan işlenmişse bu işleme aktarım sırasında takip edilebilir şekilde aktarım gerçekleştirilmelidir. Bu takip kapalı zarfın, kolinin, kutunun mühürlenmesi şeklinde gerçekleştirilecektir. Mühürleme yapılamadığı durumda aktarım yalnızca KVKK Çalışma Grubu’nun bilgisi ve onayı dahilinde yapılabilir.

Gönderen taraf, beklenen aktarım süresi sonunda alıcı taraf ile iletişim kurarak kişisel verilerin ulaştığını teyit etmekle yükümlüdür. Alıcı taraf ise, gönderen tarafı kişisel verilerin transfer sırasında işlenmediği (mührünü koruduğu) konusunda bilgilendirir ve aksini düşündüğü durumlarda gönderen tarafa ve KVKK Çalışma Grubu’ndaki ilgili kişiye durumu aktarır. Fiziki ortamdaki kişisel verilerin yurt içindeki aktarımı gerekli şartları sağlamanın yanı sıra mümkün olduğunda direkt olarak göndericiden alıcıya şeklinde gerçekleştirilmelidir. Dolaylı veya elden ele aktarım yalnızca zorunlu kalınan durumlarda tercih edilmelidir. Fiziki ortamdaki kişisel verilerin yurt dışına aktarımı yalnızca Yönetmelik’te belirtilen güvenli ülkelere yapılabilir. Aktarım yapılacak ülke Yönetmelik’te güvenli ülke olarak belirlenmemiş ise aktarım öncesinde KVKK Çalışma Grubu’nun bilgisine başvurulacaktır.

Elektronik ortamdaki kişisel veriler, kişisel verilerin bir elektronik cihaz kullanılarak okunabilir hale getirildiği tüm kişisel verileri kapsamaktadır. İşbu Kişisel Veri Aktarım Politikası’nın bu bölümünde kişisel verilerin elektronik olarak transferi ile ilgili gereklilikler anlatılmaktadır. Veri Sorumluları çalışanları aksi belirtilmediği sürece elektronik ortamda bir kişisel veri aktarımı yapıyorsa işbu Politika’ya bağlı kalmak zorundadır. Çalışan aksi durumda bir aktarım yaptığı veya aktarımın yapıldığına şahit olduğu durumlarda, durumu KVKK Çalışma Grubu’na bildirmekle yükümlüdür. Elektronik ortamda veri aktarımı yapan çalışan veya departman, aktarılacak olan kişisel veriler alınırken kişinin açık rızası alındığını ispatlayabilir olmalıdır.

Açık rıza alınmadan aktarılan kişisel verilerde, sorumluluk yalnızca veriyi elde edende sayılamaz. Aktarım yapan kişi veya departman aktardıkları kişisel veriler üzerinde, veri işleyen ile ayrı tutulamaz derecede bir sorumluluk derecesine sahiptir. Açık rıza alınmadan verilerin aktarılması yalnızca kanunda (8 inci maddenin ikinci fıkrası) belirtilen istisnaların sağlandığı durumlarda geçerlidir. Bu istisnalar dışında kalan tüm durumlarda, kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz. Kişi istisnanın geçerliliğinden emin olamıyorsa KVKK Çalışma Grubu’na danışarak aktarım yapmalıdır. Kişisel veriler elektronik ortamda aktarılmadan önce, alıcının veriyi işlemeye yetkisi olduğundan emin olunmalıdır.

Elektronik olarak kişisel veri aktarımı aşağıdaki yöntemlerle ve yalnızca belirtilen şartlar sağlandığı takdirde yapılabilir, bu yöntemlerin yetersiz kaldığı durumda KVKK Çalışma Grubu bilgilendirilmelidir.

Kişisel verilerin elektronik posta yolu ile transferinin gerekli olduğu durumlarda, aktarım işlemi kişisel verinin sahibi Birim Müdürü elektronik postanın alıcıları arasında yer almalıdır. Birim Müdürü bilgisi dahilinde olsa dahi elektronik postanın alıcısı olmadığı durumlarda, çalışan politikaya aykırı davranmış sayılacaktır. Elektronik posta metni içerisinde, elektronik postanın içeriğinin ve/veya eklerinin kişisel veri içerdiğinin bilgisi verilmelidir ve kişisel verilerin işlenmesi şifrelenerek önlenmelidir. Şifre, bir başka e-posta veya iletişim yöntemi ile alıcı ile paylaşılmalıdır. Şifreleme işleminin yapılmayacağı durumda, ilgili çalışan birim yöneticisine, birim yöneticisi ise KVKK Çalışma Grubu’na bilgi vererek onay almalıdır.

Taşınabilir medya; sabit disklere, CD, DVD, teyp, USB belleklere, USB sabit disklere, hafıza kartlarına ve benzeri elektronik ortamın fiziksel şekilde taşınabildiği tüm elektronik platformları kapsamaktadır. Taşınabilir medyalar ile kişisel veri aktarılırken, taşınabilir medya mutlaka şifrelenmelidir. Şifresiz olarak taşınabilir medyalar ile kişisel veriler transfer edilemez. Şifre, gönderici tarafından alıcıya farklı bir iletişim kanalı kullanarak iletilir. Veri aktarımını yapan çalışan, sonrasında taşınabilir medyanın içerisindeki verinin imhasından da sorumludur. Taşınabilir medya içerisindeki kişisel veriler imha edilmeden, medya herhangi başka bir işlem için kullanılamaz.

Taşınabilir medyanın fiziksel transferi göndericiden alıcıya direkt olarak yapılmalıdır. Direkt olarak bu aktarımın yapılamadığı durumlarda minimum aracı kullanılarak transfer gerçekleştirilmelidir. Aktarım sırasında Veri Sorumlularının anlaşmalı olduğu kurye hizmeti kullanılmalıdır, aktarımda kargo hizmeti kullanılamaz.

Bulut paylaşım, kişisel verilerin gönderici tarafından online bir depolama alanına yüklendiği alıcının ise verileri buradan temin ettiği paylaşımların tamamını kapsamaktadır. Bulut paylaşım ile kişisel veri aktaran çalışan, her bir aktarım öncesinde Veri Sorumluları Bilgi İşlem Departmanı ile en güvenli yöntem konusunda kişisel veri sahibi birim müdürü ile birlikte bilgi paylaşımında bulunmalıdır. Bulut paylaşım ile kişisel veri paylaşılacağı tüm durumlarda Veri Sorumluları Bilgi İşlem Departmanı’nın bilgilendirilmesi zorunludur. Bulut paylaşım ile ilgili en güvenli yöntem her aktarımdan önce tekrar kontrol edilmelidir. Bulut paylaşım yöntemi ile paylaşılan veri şifrelenmiş olmalıdır. Şifre, gönderici tarafından alıcıya başka bir iletişim kanalı kullanılarak iletilir. Bulut paylaşımı yalnızca Veri Sorumluları donanımları ve ağı kullanılarak yapılabilir, çalışanın bulut paylaşımını Veri Sorumluları donanımları ve ağını kullanmadan yapmasına izin verilmez.

Kişisel veriler, Veri Sorumlularının ortak alanları kullanarak departmanlar içerisinde ve/veya departmanlar arasında paylaşılabilir. Ağ üzerinden yapılacak paylaşımlarda, kişisel veriler yalnızca şifreli olarak transfer edilebilir. Şifre, farklı bir iletişim kanalı kullanılarak göndericiden alıcıya iletilir. Kişisel verilerin transferi işleminin, şifrelenmeye uygun olmadığına çalışan tarafından kanaat getiriliyorsa, ilgili birim yöneticisinin bilgisi dahilinde KVKK Çalışma Grubu’na bilgi verilir ve yalnızca Grup’un onayı olduğu durumlarda aktarım gerçekleştirilir. Ağ üzerinde paylaşım yapılırken, kullanılan alanın yalnızca alıcı departman ve/veya çalışanın erişimi olması gerekmektedir ve bu kontrol göndericinin sorumluluğundadır. Paylaşımın tamamlanmasının ardından, alıcı kişisel verileri ağ üzerinden imha ederek göndericiye bilgi vermelidir. Bilgiyi alan gönderici, ağ üzerindeki ortak alanda kişisel verilerin artık bulunmadığını kontrol etmeli ve bulunmadığından emin olmalıdır.

1. Yönetmelik’in Kurum tarafından oluşturulmasının ardından Veri Sorumluları bu Politika’da varsa gerekli değişiklikleri yapacaktır.

2. Yönetmelik’te yapılacak her türlü resmi değişikliğin ardından bu değişiklerle uyumlu olacak şekilde Veri Sorumluları tarafından işbu Politika’da değişiklik yapılabilir.

3. Veri Sorumluları, Politika üzerinde yaptığı değişiklikler incelenebilecek olacak şekilde güncellenen Politika’yı intranet sisteminden çalışanlarıyla paylaşacak ve kurumsal internet üzerinden çalışanlarının erişimine sunacaktır.

İşbu Politika yayın tarihiyle yürürlüğe girmiştir.