KVKK iç politika metni

ÜÇ ADAM EĞİTİM DANIŞMANLIĞI ŞİRKETİNİN KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ HAKKINDAKİ İÇ POLİTİKASI
1.BÖLÜM
1.1.Giriş
Kişisel verilerin korunması Üç Adam Eğitim Danışmanlığı Şirketinin (‘’Şirket’’) en önemli öncelikleri arasında olup, şirket bu hususta yürürlükte bulunan tüm mevzuata uygun davranmak amacıyla elinden gelen tüm gayreti göstermektedir. Bu hususun en önemli ayağını kayıt olma esnasında açıkça paylaşılan ve danışanlarımız tarafından onaylanan açık rıza formu ve aydınlatma metninin yanında işbu Üç Adam Eğitim Danışmanlığı Şirketi Kişisel Verilerin Korunması ve İşlenmesi Politikası (“Politika”) oluşturmaktadır. İşbu Politika çerçevesinde Şirketimiz tarafından veri sorumlusu sıfatıyla gerçekleştirilen kişisel veri işleme işlemlerinin devam ettirilmesinde esas alınan ilkeler ve Şirketimizin veri işleme faaliyetlerinin 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (“Kanun”) yer alan düzenlemelere uygun olması bakımından benimsenen temel prensipler açıklanmakta ve böylelikle Şirketimiz, kişisel veri sahiplerini bilgilendirerek gerekli şeffaflığı sağlamaktadır. Bu kapsamdaki sorumluluğumuzun tam bilinci ile kişisel verileriniz işbu politikamız kapsamında işlenmekte ve korunmaktadır.
1.2 Kapsam
İşbu Politika, Şirketimiz çalışanları (çalışan adayı, çalışanlar, stajyerler, yönetim kurulu üyeleri ve/veya temsilcileri) haricindeki kişilerin tamamen otomatik olan yollarla işlenen tüm kişisel verilerine ilişkin olarak hazırlanmış ve dikkatinize sunulmuştur.
2. BÖLÜM- KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN PRENSİPLER VE DETAYLAR
2.1 Kişisel Verileri İşleme Prensipleri
Şirketimiz kişisel verileri, Kanun’da ve ilgili diğer mevzuatlarda öngörülen usul ve esaslara uygun olarak işlemektedir. Bu doğrultuda Şirketimiz kişisel verileri,
• Hukuka ve dürüstlük kurallarına uygun,
• Doğru ve gerektiğinde güncel,
• Belirli, açık ve meşru amaçlar için,
• İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olarak,
• İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar işlemektedir.
2.2 Kişisel Verilerin İşlenmesi
2.2.1 Kişisel Verilerin İşlenmesi
Kişisel veri sahibinin açık rıza vermesi, kişisel verilerin hukuka uygun olarak işlenmesini mümkün kılan hukuki dayanaklardan yalnızca bir tanesi olup, aşağıda yer alan şartlardan birinin varlığı durumunda kişisel veriler, veri sahibinin açık rızası aranmaksızın Şirketimiz tarafından işlenmektedir. Açık rıza haricinde kişisel veri işleme faaliyetinin dayanağı aşağıda belirtilen şartlardan yalnızca biri olabileceği gibi bu şartlardan birden fazlası da aynı kişisel
veri işleme faaliyetinin dayanağı olabilmektedir. İşlenen verilerin Özel Nitelikli Kişisel Veri olması halinde, işbu Politikanın 2.2.2 başlığı (“Özel Nitelikli Kişisel Verilerin İşlenmesi”) içerisinde yer alan şartlar uygulanacaktır. Kanunda açıkça öngörülmüş durumlar dışında tüm kişisel verileriniz, rızaya bağlı olarak işlenecektir.
i. Kanunlarda Açıkça Öngörülmüş Haller Olması
Kanunlarda açıkça öngörülen hallerde kişisel veriler işlenebilecektir. Bu durumda Şirketimiz, ilgili hukuki düzenlemeler çerçevesinde kişisel verileri işlemektedir.
ii. Fiili İmkansızlık Sebebiyle İlgilinin Açık Rızasının Alınmasının Mümkün Olmaması
Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına geçerlilik tanınamayacak olan kişinin kendisinin ya da başka bir kişinin hayatı veya beden bütünlüğünü korumak için kişisel verisinin işlenmesinin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.
iii. Sözleşmenin Akdedilmesi veya İfasıyla Doğrudan İlgili Olması
Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması halinde kişisel verilerin işlenmesi mümkündür.
iv. Şirketin Hukuki Yükümlülüğünü Yerine Getirmesi
Şirketimizin veri sorumlusu olarak hukuki yükümlülüklerini yerine getirmesi için işlemenin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.
v. Kişisel Veri Sahibinin Kişisel Verisini Alenileştirmesi
Veri sahibi tarafından herhangi bir şekilde kamuya açıklanmış olan ve alenileştirilme sonucu herkesin bilgisine açık olan kişisel veriler alenileştirme amacı ile sınırlı olarak Şirketimiz tarafından işlenebilecektir.
vi. Bir Hakkın Tesisi veya Korunması için Veri İşlemenin Zaruri Olması
Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.
vii. Şirketimizin Meşru Menfaati için Veri İşlemenin Zaruri Olması
Şirketimiz ile veri sahibinin menfaat dengesinin gözetilmesi şartıyla Şirketimiz tarafından kişisel veriler işlenebilecektir. Bu kapsamda, meşru menfaate dayanarak verilerin işlenmesinde Şirketimiz öncelikle işleme faaliyeti sonucunda elde edeceği meşru menfaati tespit eder ve kişisel verilerin işlenmesinin veri sahibinin hak ve özgürlükleri üzerindeki olası etkisini göz önünde bulundurur ve dengenin kesinlikle bozulmadığı kanaatindeyse işleme faaliyetini gerçekleştirir.
2.2.2 Özel Nitelikli Kişisel Verilerin İşlenmesi
Kişisel verilerin bir kısmı, ‘Özel Nitelikli Kişisel Veriler’ olarak ayrı şekilde düzenlenmekte ve özel bir korumaya tabi olmaktadır. Hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine sebep olma veya ayrımcılığa maruz kalma riski nedeniyle, bu verilere özel önem atfedilmiştir.
Özel Nitelikli Kişisel Veriler Şirketimiz tarafından, işbu Politika’da belirtilen ilkelere uygun olarak ve Kişisel Verileri Koruma Kurulu’nun (“Kurul”) belirleyeceği yöntemler üzerine gerekli her türlü idari ve teknik tedbirler alınarak ve aşağıdaki şartların varlığı halinde işlenmektedir.
(i) Sağlık ve cinsel hayat dışındaki Özel Nitelikli Kişisel Veriler,
veri sahibinin açık rıza vermesi halinde veya açık rıza aranmaksızın kanunlarda açıkça öngörülen hallerde işlenebilmektedir.
(ii) Sağlık ve cinsel hayata ilişkin Özel Nitelikli Kişisel Veriler,
veri sahibinin açık rıza vermesi halinde veya açık rıza aranmaksızın kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenebilmektedir.
2.3 Kişisel Verilerin İşlenme Amaçları
Kanun ve ilgili diğer mevzuatlara uygun şekilde işbu Politika’da detaylandırılan kişisel veriler ve Özel Nitelikli Kişisel Veriler’in işlenme şartları kapsamında Şirketimiz kişisel veri işleme amaçları aşağıdaki gibidir:
1. Şirketimize kayıt olan öğrencilerin, ders çalışma raporlarının takip edilmesi, sürdürülebilir bir program sağlanabilmesi ve öğrencilerin ihtiyaçlarına yönelik ders çalışma programları hazırlanabilmesi
2. Şirketimiz tarafından sunulan ürün ve/veya hizmetlerin kişilerin ders çalışma alışkanlıkları, beğeni, kullanım alışkanlıkları ve ihtiyaçlarına göre özelleştirilerek ilgili kişilere önerilmesi ve tanıtılması için gerekli olan aktivitelerin planlanması ve icrası
3. Şirketimiz tarafından sunulan ürün ve hizmetlerden ilgili kişileri faydalandırmak ve hizmetlerin sürekliliği ile memnuniyetin sağlanması için gerekli çalışmaların iş birimlerimiz tarafından yapılması ve ilgili iş süreçlerinin yürütülmesi.
4. Şirketimiz tarafından yürütülen ticari ve/veya operasyonel faaliyetlerin gerçekleştirilmesi ve sürdürülebilmesi için ilgili iş birimlerimiz tarafından gerekli çalışmaların yapılması ve buna bağlı iş süreçlerinin yürütülmesi.
5. Şirketimizin ticari ve/veya iş stratejilerinin planlanması ve/veya icrası.
6. Ürün ve hizmetlerimiz ile ilgili talep ve şikayetlerin alınabilmesi, takip edilebilmesi ve sonuçlandırılabilmesi.
2.4 Şirketimiz Tarafından İşlenen Kişisel Veri Kategorileri
Şirketimiz tarafından Kanun’a ve ilgili diğer mevzuat hükümlerine uygun olarak işbu Politikada belirtilen amaçlar ve şartlar çerçevesinde kişisel veri sahipleri açık rıza metni ve aydınlatma yükümlülüğü gereği hazırlanan aydınlatma formunda detaylıca anılan Kimlik Bilgileri, Adres, Yaş Aralığı, Cinsiyet gibi kişisel verileri işlenmektedir.
3. BÖLÜM 3 – KİŞİSEL VERİLERİN AKTARILMASINA İLİŞKİN HUSUSLAR
Şirketimiz hukuka uygun olan kişisel veri işleme amaçları doğrultusunda gerekli güvenlik önlemlerini alarak kişisel verileri ve Özel Nitelikli Kişisel Veriler’i yurt içindeki üçüncü kişilere (“Üçüncü Kişiler”) aktarabilmektedir. Şirketimiz, bu doğrultuda Kanun’un 8’inci ve 9’uncu maddesinde öngörülen düzenlemelere uygun hareket etmektedir.
3.1 Kişisel Verilerin Aktarılması
Veri sahibinin açık rızasının bulunması durumunda ya da aşağıda sayılı şartların varlığı halinde veri sahibinin açık rızası aranmaksızın gerekli özen gösterilerek ve Kurul tarafından öngörülen yöntemler de dahil gerekli tüm güvenlik önlemleri alınarak kişisel verileri yurtiçinde bulunan Üçüncü Kişiler’e aktarılabilmektedir:
1. Kişisel verilerin aktarılmasına ilişkin ilgili faaliyetin kanunlarda açıkça öngörülmesi,
2. Kişisel verilerin Şirket tarafından aktarılmasının bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili ve gerekli olması,
3. Kişisel verilerin aktarılmasının Şirket’in hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
4. Kişisel verilerin veri sahibi tarafından alenileştirilmiş olması şartıyla, alenileştirme amacıyla sınırlı bir şekilde Şirket tarafından aktarılması,
5. Kişisel verilerin Şirket tarafından aktarılmasının Şirket’in veya veri sahibinin veya üçüncü kişilerin haklarının tesisi, kullanılması veya korunması için zorunlu olması,
6. Veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirket meşru menfaatleri için kişisel veri aktarımı faaliyetinde bulunulmasının zorunlu olması,
7. Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünü koruması için zorunlu olması.
Kişisel veriler yurt dışına aktarılmayacak, aktarılacak olması halinde, kişilerin açık rızası aranacaktır.
3.2 Özel Nitelikli Kişisel Verilerin Aktarılması
Şirketimiz, açık rıza olmaksızın özel nitelikli kişisel veri işlememektedir. Şirketimiz, açık rızaya dayanılarak işlenen Özel Nitelikli Kişisel Veriler’i gerekli özeni göstererek ve Kurul tarafından öngörülen yöntemler de dahil gerekli güvenlik önlemlerini alarak ve aşağıdaki şartların varlığı halinde yurt içinde bulunan ve bölüm 3.3'te belirlenen taraflara aktarabilmektedir:
(i) Sağlık ve cinsel hayat dışındaki Özel Nitelikli Kişisel Veriler, veri sahibinin açık rıza vermesi halinde veya açık rıza aranmaksızın kanunlarda açıkça öngörülen hallerde işlenebilmektedir.
(ii) Sağlık ve cinsel hayata ilişkin Özel Nitelikli Kişisel Veriler, veri sahibinin açık rıza vermesi halinde veya açık rıza aranmaksızın kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenebilmektedir.
3.3 Kişisel Verilerin Aktarıldığı Kişi Kategorizasyonları
Şirketimiz, Kanun’un 8’inci ve 9’uncu maddelerine uygun olarak kişisel verileri aşağıda sıralanan kişi kategorilerine aktarabilmektedir:
(i) Tedarikçi,
(ii) İş Ortağı,
(iii) Kanunen Yetkili Kamu Kurumu,
4. BÖLÜM 4 – KİŞİSEL VERİLERİN SAKLANMASI VE İMHASI
Türk Ceza Kanunu, Kanun ve ilgili diğer mevzuatta öngörülen kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi yükümlülüğü gereği, Şirketimiz tarafından Kanun ve diğer mevzuat hükümlerine uygun olarak işlenmiş olmasına rağmen işlenmesini gerektiren sebeplerin ortadan kalkması ve kanundan kaynaklanan saklama sürelerinin sona ermiş olması halinde kişisel veriler Şirketimizin re’sen vermiş olduğu karara veya kişisel veri sahibinin talebine istinaden kişisel veriler silinir, yok edilir veya anonim hale getirilir.
5. BÖLÜM 5 – KİŞİSEL VERİLERİN GÜVENLİĞİNİN VE GİZLİLİĞİNİN SAĞLANMASI
Şirketimiz tarafından, kişisel verilerin hukuka aykırı olarak açıklanmasını, erişimini, aktarılmasını veya başka şekillerde meydana gelebilecek güvenlik eksikliklerini önlemek için, imkanlar dahilinde, korunacak verinin niteliğine göre gerekli her türlü tedbir alınmaktadır. Bu kapsamda Şirketimiz tarafından gerekli her türlü idari ve teknik tedbirler alınmakta, (iii) Şirketimiz bünyesinde denetim sistemi kurulmakta ve (iv) kişisel verilerin kanuni olmayan yollarla ifşası durumunda Kanun’da öngörülen tedbirlere uygun olarak hareket edilmektedir.
6. BÖLÜM 6 – KİŞİSEL VERİ SAHİPLERİNİN AYDINLATILMASI
Şirketimiz, Kanunun 10 uncu maddesini ve Kişisel Verileri Koruma Kurumu’nun yayımlamış olduğu “Aydınlatma Yükümlülüğünün Yerine Getirilmesi Rehberi”nde yer verilen hususları dikkate alarak veri sahiplerini aydınlatmaktadır.Bu kapsamda Şirketimiz ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile kişisel veri sahibinin sahip olduğu hakları konusunda aydınlatma yapmaktadır. T.C. Anayasası’nın 20’nci maddesinde herkesin, kendisiyle ilgili kişisel veriler hakkında bilgilendirilme hakkına sahip olduğu açıklanmıştır. Bu doğrultuda Kanun’un 11’nci maddesinde kişisel veri sahibinin hakları arasında “bilgi talep etme” hakkı da yer almaktadır. Şirketimiz, bu kapsamda, T.C. Anayasası’nın 20’nci ve Kanun’un 11’inci maddelerine uygun olarak kişisel veri sahibinin bilgi talep etmesi durumunda gerekli bilgilendirmeyi yapmaktadır. Kişisel veri sahibinin hakları ile ilgili detaylı bilgilere ve iletişim kanallarına Aydınlatma Metnimizde açıkça yer verilmiştir.
7. BÖLÜM 7 – KİŞİSEL VERİ SAHİBİNİN HAKLARI VE BU HAKLARIN KULLANILMASI
7.1 Kişisel Veri Sahibinin Hakları
Kişisel verilere ilişkin olarak veri sahibinin kullanabileceği kanuni haklar aşağıda sayılmaktadır:
(1) Kişisel verilerinin işlenip işlenmediğini öğrenme,
(2) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
(3) Kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
(4) Kişisel verilerinin yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri öğrenme,
(5) Kişisel verilerinizin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerinin aktarıldığı üçüncü kişilere bildirilmesini isteme,
(6) Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verilerinin silinmesini, yok edilmesini veya anonim hale getirilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerinin aktarıldığı üçüncü kişilere bildirilmesini isteme,
(7) İşlenen verilerinin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhine bir sonucun ortaya çıkmasına itiraz etme,
(8) Kişisel verilerinin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme.
7.2 Veri Sahibinin Haklarını İleri Süremeyeceği Haller
Kanun’un 28’inci maddesinde sayılı hallerde, kişisel veri sahipleri bölüm 7.1’de (“Kişisel Veri Sahibinin Hakları”) sayılan haklarını ileri süremeyeceklerdir. Zira bu durumlar Kanun’da belirtilen veri koruma kapsamı dışında tutulmaktadır.
Anılan madde kapsamında sayılı haller aşağıda sıralanmaktadır:
(1) Kişisel verilerin resmi istatistik ile anonim hale getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi,
(2) Kişisel verilerin milli savunmayı, milli güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi,
(3) Kişisel verilerin milli savunmayı, milli güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi,
(4) Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.
Kanun’un 28’inci maddesinin 2’nci fıkrası gereği, aşağıda sıralanan hallerde kişisel veri sahipleri zararın giderilmesini talep etme hakkı hariç, 7.1’de (“Kişisel Veri Sahibinin Hakları”) sayılan diğer haklarını ileri süremezler:
(1) Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması,
(2) Kişisel veri sahibi tarafından alenileştirilmiş kişisel verilerin işlenmesi,
(3) Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması,
(4) Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.
7.3 Kişisel Veri Sahiplerinin Haklarını Kullanması
Kişisel veri sahipleri bölüm 7.1’de (“Kişisel Veri Sahibinin Hakları”) sayılı haklarına ilişkin taleplerini, “Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ”in 5 inci maddesinde yer verilen bilgilere yer vermek suretiyle yazılı olarak veya Kayıtlı Elektronik Posta (KEP) adresi, Güvenli Elektronik İmza, Mobil İmza ya da önceden Şirketimize bildirmiş oldukları ve sistemimizde kayıtlı bulunan elektronik posta adreslerini kullanmak suretiyle Şirketimize iletebileceklerdir. Şirketimiz, bilgi talebinde bulunan kişisel veri sahiplerine cevap vermeden önce, kişisel verilerin güvenliğini sağlamak amacıyla ilgili kişiden, kimlik doğrulamasının yapılabilmesini teminen ilave bilgi/belge talep edebilir.
7.4 Şirketimizin Başvurulara Cevap Vermesi
Şirketimiz, kişisel veri sahibi tarafından yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirleri almaktadır.
Şirketimiz kişisel veri sahibinin başvurularını kabul edebileceği gibi gerekçesini açıklayarak reddedebilecektir. Şirketimiz ilgili cevabını kişisel veri sahibine yazılı olarak veya elektronik ortamda bildirebilecektir.
Kişisel veri sahibinin, bölüm 7.1’de (“Kişisel Veri Sahibinin Haklarını Kullanması”) altında yer alan haklara ilişkin talebini anılan usullere uygun olarak Şirketimize iletmesi durumunda, Şirketimiz talebin niteliğine göre en kısa sürede ve en geç 30 (otuz) gün içinde ilgili talebi “Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ”e uygun şekilde ücretsiz olarak sonuçlandıracaktır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi halinde; kişisel veri sahibinin başvurusuna Şirketimiz yazılı olarak cevap verecek ise on sayfaya kadar ücret alınmayacak ancak on sayfasının üzerindeki her sayfa için Kanun ve ilgili diğer mevzuatlarda belirtildiği şekilde işlem ücreti alınabilecektir.