1. Giriş

T.C. Anayasası barındırdığı birçok hükümle kişilerin temel haklarını güvence altına almış ve her geçen gün yeni güvenceler getirmiştir. 2010 yılında 5982 sayılı Kanun’la yapılan Anayasa değişikliği ile Anayasanın 20. maddesine ilave bir fıkra eklenerek kişisel veriler, “özel hayatın gizliliği ve korunması hakkı” kapsamında Anayasal güvenceye kavuşmuştur. Söz konusu fıkrada; “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.” hükmüne yer verilmiştir. Bahse konu Anayasa hükmüne göre;

• Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir.
• Bu anlamda bireyler temel olarak, kendileri ile ilgili kişisel verilerin ilgisiz üçüncü kişilerin eline geçmemesi konusunda gerekli tedbirlerin alınmasını isteme hakkına sahiptirler.
• Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Bu anlamda bireyler, hangi amaçla hangi kişisel verilerinin k
  ullanıldığını öğrenme hakkına sahip olduğu gibi söz konusu kişisel verilerde herhangi bir yanlışlık bulunması halinde bu durumun düzeltilmesini ya da verilerinin silinmesini isteme hakkına da sahiptirler.
• Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Yasal bir düzenleme bulunmaması ya da bireyin kendisine ait kişisel verilerin işlenmesi yönünde açık bir irade beyanının olmaması durumunda kişisel verilerin işlenebilmesi mümkün değildir.

2. Amaç ve Kapsam

Politika ile Bi Takım İşler İnsan Kaynakları içerisinde işlenen kişisel verilerin işlenmesi ve korunması için her türlü idari ve teknik tedbir alınacak, çalışanlar ve partnerler KVKK süreçlerine yönelik bilgilendirilecek ve uygun ve etkin bir denetim mekanizması kurulacaktır.

3. Tanımlar

• 3.1. Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı, 3.2. Anonim hâle getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini,
• 3.3. İlgili kişi: Kişisel verisi işlenen gerçek kişiyi,
• 3.4. Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,
• 3.5. Kişisel verilerin işlenmesi:  Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,
• 3.6. Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi,
• 3.7. Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini, 3.8. Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi, ifade eder.
• 4. Kişisel Verileri İşleme İlkelerimiz Firmamız tarafından işlenen kişisel veriler, KVKK ve ilgili mevzuata uygun olarak işlenmektedir. KVKK 4. maddesi uyarınca kişisel verilerinizi işlerken ilke edindiğimiz temel ilke ve prensipler aşağıda belirtildiği gibidir: • Hukuka ve Dürüstlük Kuralına Uygun İşleme • Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama • Belirli, Açık ve Meşru Amaçlarla İşleme • İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç için Gerekli Olan Süre Kadar Muhafaza Etme

5. Kişisel Verilerin İşlenme Şartları

KVKK’nın 5. Maddesi kişisel verilerin işlenme şartlarını düzenlemektedir. Firmamız tarafından kişisel verilerin işlenme süreçleri KVKK ile belirtilen aşağıdaki şartlara uygun olarak işlenmektedir. Ancak KVKK gereği ilgili kişilerin açık rızası olmasa dahi kişisel verilerin mevzuat hükümleri gereği işlenmesinin zorunlu olduğu durumlarda veri işleme faaliyetleri gerekli diğer kriterlerin sağlanması şartı ile hukuka uygun kabul edilecektir. “Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:

• a) Kanunlarda açıkça öngörülmesi.
• b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
• c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
• ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
• d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
• e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
• f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.”
• 6. Özel Nitelikli Verilerin İşlenme Şartları KVKK kişisel verilerin işlenmesine ek olarak ayrı bir madde ile özel nitelikli kişisel verilerin işlenmesini düzenlemiştir. Söz konusu madde hükmü gereği etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veri statüsündedir ve Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır. Firmamız bu statüde yer alan kişisel verileri titizlikle belirlemekte ve sınıflandırmaktadır.

7. Kişisel Verilerin Aktarılması

• 7.1. Kişisel Verilerin Yurt İçinde Aktarılması Kişisel veriler yurt içinde ilgili kişinin açık rızası olmaksızın üçüncü şahıslara aktarılamaz. Kişisel verilerin üçüncü şahıslara aktarılmasında çeşitli şartlara uygun olması gerekmektedir. Ana kural ilgili kişinin açı rızasıdır ancak İlgili kişinin kişisel verilerinin yurt içinde aktarılmasına dair açık rızasının bulunmadığı hallerde, KVKK’nın 5. maddesinin 2. fıkrası ile düzenlenen koşullarda kişisel verilerin üçüncü şahıslara aktarılması mümkündür.
• 7.2. Kişisel Verilerin Yurt Dışında Aktarılması KVKK’nun 9. maddesi gereği kişisel veriler ana kural olarak ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz. Bu nedenle Firmamız tarafından kişisel verilerin yurt dışına aktarılması için ilgili kişinin açık rızasının alınması temel esas olarak uygulanacaktır. İlgili kişinin kişisel verilerinin yurt dışına aktarılmasına dair açık rızasının bulunmadığı hallerde KVKK’nın 5. maddesinin 2. fıkrası ile düzenlenen koşullarda kişisel verilerin yurt dışında üçüncü şahıslara aktarılması Kişisel Veri Koruma Kurulu’nun yayınlayacağı güvenli ülke listesi dikkate alınarak mümkündür. KVKK’nın 9. maddesi uyarınca yurt dışına kişisel verilerin aktarılması için ayrıca, verilerin aktarılacağı ülkede yeterli korumanın bulunması gerekmektedir.

8. Kişisel Verilerin Silinmesi

Yok Edilmesi Veya Anonim Hale Getirilmesi 6698 Sayılı Kişisel Verileri Koruma Kanunu’nun 7. Maddesi “Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir.” Şeklindedir. Buna göre; Kişisel verileri işlemeye esas teşkil eden taraflar arasındaki sözleşmenin geçerli olmaması, kendiliğinden sona ermesi, sözleşmenin feshi veya dönülmesi, hiç kurulmamış olması, kişisel verilerin işlenmesini gerektiren amacın ortadan kalkması, kişisel verileri işlemeye esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası, Kişisel verileri işlemenin hukuka veya dürüstlük kuralına aykırı olduğunun tespit edilmesi, Kişisel verisi rıza üzerine işlenen ilgili kişinin rızasını geri alması, İlgili kişinin, Kanunun 11. maddesinin 1. fıkrasının (e) ve (f) bentlerindeki hakları çerçevesinde kişisel verileri işleme faaliyetine ilişkin yaptığı başvurunun veri sorumlusu tarafından kabul edilmesi, Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması, Kanunun ilgili maddeleriyle belirlenen kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması, Veri sorumlusunun, ilgili kişi tarafından kişisel verilerinin silinmesi veya yok edilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması durumlarında Firma kişisel veri işleme envanteri doğrultusunda işlenen kişisel veriler durumlarına göre silinir, yok edilir veya anonim hale getirilir.

• 8.1. Kişisel Verilerin Silinmesi Yöntemleri
•  8.1.2. Kağıt Ortamında Bulunan Kişisel Veriler Kâğıt ortamında bulunan kişisel veriler karartma yöntemi kullanılarak silinmektedir. Karartma işlemi, karartılmak istenen kişisel verilerin kesilmesi veya bu mümkün değilse geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit mürekkep kullanılarak ilgili kullanıcılara görünemez hale getirilmesi şeklinde yapılmaktadır.
• 8.1.3. Merkezi Sunucuda Yer Alan Ofis Dosyaları Dosyanın işletim sistemindeki silme komutu ile silinmesi veya dosya ya da dosyanın bulunduğu dizin üzerinde ilgili kullanıcının erişim haklarının kaldırılması suretiyle gerçekleştirilmektedir.
• 8.1.4. Flash Tabanlı Medyada Bulunan Kişisel Veriler Flash tabanlı saklama ortamlarındaki kişisel veriler bu ortamlara uygun yazılımlar kullanılarak silinmektedir.
•  8.2. Kişisel Verilerin Yok Edilmesi Yöntemleri
•  8.2.1. De-manyetize Etme De-manyelize etme yöntemi kullanılmak suretiyle manyetik medya içerisinde bulunan veriler okunamayacak hale getirilerek bozulmaktadır. Bu işlem kullanılarak şirket için manyetik medya ile saklanan kişisel veriler imha edilmektedir.
• 8.2.2. Kağıt Ortamlar Kâğıt ortamda bulunan kişisel veriler, kâğıt imha veya kırpma makinaları ile veri anlaşılamayacak şekilde, yatay veya dikey olarak, geri birleştirilemeyecek şekilde küçük parçalara bölünmektedir.

9. İlgili Kişinin Hakları

Kanun’un 11. maddesi uyarınca herkes, veri sorumlusuna başvurarak kendisiyle ilgili;

• a) Kişisel verilerinin işlenip işlenmediğini öğrenme,
• b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
• c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
• ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
• d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
• e) Kanun’un 7. maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
• f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
• g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
• ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme, haklarına sahiptir.