KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASI (KVKK) POLİTİKASI
MADDE 1 – GİRİŞ
GENÇ LİDERLER VE GİRİŞİMCİLER DERNEĞİ İZMİR ŞUBESİ ("DERNEK" veya "JCI-İzmir"
olarak anılacaktır.) olarak veri sorumlusu sıfatıyla, kişisel verilerinizin güvenliğine büyük önem vermekteyiz. Üyeler, aday üyeler, ziyaretçiler yahut üçüncü kişiler tarafından paylaşılan her türlü kişisel veriyi hizmet alıcılarının mahremiyetine özen gösterecek şekilde ve kişisel verilerinize ilişkin uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri alacak şekilde muhafaza etmekteyiz. İşbu Kişisel Verilerin Korunması Hakkında Bilgilendirme, kişisel veri koruma ve işleme politikamızı ve merkezimiz tarafından ifa edilen hizmetler sırasında kişisel verilerinizi nasıl topladığımız, aktardığımız, kullandığımız ve koruduğumuzu açıklamaktadır.
Toplanan kişisel verileriniz, derneğimizin faaliyetlerini yürütme, etkinlik düzenleme, üyelerle iletişim kurma gibi amaçlarla işlenmektedir ve bu işleme faaliyetleri 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun 5. ve 6. maddelerinde belirtilen açık rızanızın alınması, kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızanızın alınamaması gibi hukuki sebeplere dayanmaktadır.
İşbu Kişisel Verilerin İşlenmesi ve Korunması Politikası ile 6698 sayılı Kişisel Verilerin Korunması Kanunu ve diğer ikincil mevzuat çerçevesinde öngörülen kişisel verilerin işlenmesine ve korunmasına ilişkin yerine getirilecek yükümlülükler ile bu kapsamda uygulanacak usul ve esaslar düzenlenmektedir.
MADDE 2 – POLİTİKANIN AMACI
İşbu Politika’nın temel amacı, Dernek bünyesinde ve bağlı olduğu merkez şube düzeyinde kişisel verilerin işlenmesi ve korunması hususunda hukuka uygun olarak yürütülen kişisel veri işleme faaliyetlerinin ve kişisel verilerin korunmasına yönelik sistemlerin açıklanması ve Derneğimiz tarafından işlenen kişisel veriler ile ilgili veri sahiplerinin bilgilendirilmesidir.
MADDE 3 – POLİTİKANIN KAPSAMI
İşbu Politika hükümleri; üyeler, aday üyeler, ziyaretçiler yahut üçüncü kişilerin, tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla dernek bünyesinde işlenen tüm kişisel verileri kapsamaktadır.
MADDE 4 – TANIMLAR
Açık Rıza : Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade etmektedir.
Kişisel Veri : Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi (Ad-Soyad, TC, e-posta, adres, doğum tarihi, kredi kartı numarası vb.) ifade etmektedir.
Kişisel Verilerin İşlenmesi : Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade etmektedir.
Kişisel Veri Sahibi/ İlgili Kişi : Kişisel verisi işlenen gerçek kişileri üyeler, aday üyeler, ziyaretçiler yahut üçüncü kişileri ifade etmektedir.
Özel Nitelikli Kişisel Veri : Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza
mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.
Veri İşleyen : Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi ifade etmektedir. Örneğin, üye veya aday üyelerin bilgilerini göndermiş olduğu
Veri Sorumlusu : Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade etmektedir. Dernek bu kapsamda veri sorumlusu olarak addedilmektedir.
MADDE 5 – TEMEL İLKELERVE KİŞİSEL VERİ İŞLENMESİ YÖNTEMİ
İşbu Politika, KVKK ve ilgili ikincil mevzuat tarafından öngörülen kuralları somutlaştırma amacını taşımakta olup söz konusu amaca hizmet edecek yöntemleri belirleyen ve yol gösterici bir nitelik taşıyan bir düzenlemedir. Bu kapsamda, derneğimiz bu Politika’yı rehber edinerek gerçekleştirilen veri işleme faaliyetlerini analiz edecek, gerekli tüm aksiyonları belirleyecek ve gerekli her türlü idari ve teknik önlemleri alacaktır. Aksiyonların uygulanmaya başlanması ile birlikte iç denetim sistemi işletilerek işbu Politika’ya uyumluluk sağlanacak ve sağlanan bu uyumluluk korunacaktır.
Tüm bu süreçlerde derneğimiz, yasal uyumluluğun sağlanması amacıyla işlenen kişisel verilerin KVKK ve ilgili diğer mevzuat uyarınca belirlenen genel ilke ve hükümlere uygun olması gerektiğinin bilincindedir. Bu doğrultuda, KVKK madde 4 kapsamında tüm kişisel veri işleme faaliyetlerinde göz önünde bulundurulması gereken temel ilkeler aşağıda yer almaktadır:
-Hukuka ve dürüstlük kurallarına uygun olma,
-Doğru ve gerektiğinde güncel olma,
-Belirli, açık ve meşru amaçlar için işlenme,
-İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
-İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.
Bu çerçevede derneğimiz tarafından kişisel verilerin elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilecek her türlü veri işleme faaliyetinde yukarıda yer alan tüm ilkeleri göz önünde bulunduracaktır.
MADDE 6 – KİŞİSEL VERİLERİN GÜVENLİĞİ
KVKK madde 12 gereğince JCI kişisel verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak ile yükümlüdür. Bununla beraber, ileride Kişisel Verileri Koruma Kurulu kararları tarafından belirlenebilecek her türlü güvenlik ölçütleri de dikkate alınacak ve uygulanacaktır.
JCI'a ait ortak bir veri tabanında işlenen kişisel veriler, KVKK madde 12 doğrultusunda alınan teknik ve idari önlemler çerçevesinde gizli olarak saklanacak ve ticari amaç gerekçesiyle hiçbir şekilde üçüncü kişiler ile paylaşılmayacaktır.
JCI İzmir tarafından işlenen kişisel veri güvenliği ihlali riskini verilerin korunmasına ilişkin ortaya çıkabilecek risklerin gerçekleşme olasılığının ve gerçekleşmesi durumlarının tespiti halinde yol açacağı kayıplar doğru bir şekilde belirlenerek buna uygun teknik ve idari tedbirlerin derhal alınacaktır. Bu riskler belirlenirken öncelikle kişisel verilerin (i) özel nitelikli kişisel veri olup olmadığı, (ii) mahiyeti gereği hangi derecede gizlilik seviyesi gerektirdiği ve (iii) güvenlik ihlali halinde ilgili kişi bakımından ortaya çıkabilecek zararın niteliği ve niceliği dikkate alınacaktır.
Bu risklerin tanımlanması ve önceliğinin belirlenmesinden sonra, söz konusu risklerin azaltılması ya da ortadan kaldırılmasına yönelik kontrol ve çözüm alternatifleri; maliyet, uygulanabilirlik ve yararlılık ilkeleri doğrultusunda değerlendirilecektir, gerekli teknik ve idari tedbirler planlanarak uygulamaya konulacaktır.
MADDE 7 – ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN KORUNMASI
Özel nitelikli kişisel veri, KVKK kapsamında kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri olarak tanımlanmaktadır. Bu verilerin hukuka aykırı olarak işlenmesi durumunda ilgili kişilerin ciddi olarak mağduriyetine veya ayrımcılığa neden olma riski sebebiyle özel önem atfedilmiştir.
Bu doğrultuda, dernek tarafından "özel nitelikli" olarak atfedilen her türlü verinin ve hukuka uygun olarak işlenen özel nitelikli kişisel verilerin korunmasında özel bir hassasiyet göstermektedir. Dernek tarafından, kişisel verilerin korunması için işbu Politika madde 6 uyarınca alınan teknik ve idari tedbirler, özel nitelikli kişisel veriler bakımından da özenle uygulanmakta ve gerekli denetimler uygulanmaktadır.
Yürürlükte bulunan mevzuat ile uyumlu olarak ve Kurul tarafından belirlenecek önlemlerin de alınması kaydıyla Dernek tarafından özel nitelikli kişisel veriler, kişisel veri sahibinin açık rızasının bulunup bulunmamasına göre değişkenlik göstermektedir. Buna göre, özel nitelikli kişisel veriler:
Kişisel veri sahibinin açık rızası ile işlenmektedir. Kişisel veri sahibinin açık rızası yok ise,
Kişisel veri sahibinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen hallerde,
Kişisel veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmektedir.
MADDE 8 – AYDINLATMA YÜKÜMLÜLÜĞÜ
JCI-İzmir, kişisel verilerin elde edilmesi sırasında kişisel veri sahiplerini, verilerinin hangi gerekçe ve hangi usul ile işleneceği konusunda aydınlatmak ile yükümlüdür. Aydınlatma yükümlülüğüne ilişkin asgari hususlar KVKK madde 10 kapsamında düzenlemektedir:
Veri sorumlusu olarak dernek ve temsilcisinin kimliği, Kişisel verilerin hangi amaçla işleneceği,
Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, Kişisel veri toplamanın yöntemi ve hukuki sebepleri, Kişisel veri sahibinin sahip olduğu haklar.
Bu doğrultuda, dernek tarafından öncelikle kişisel veri toplama kanalları tespit edilecek ve her kanal özelinde aydınlatma noktaları ve metinleri belirlenecektir.
MADDE 9 – KİŞİSEL VERİ SAHİPLERİNİN BAŞVURMA HAKKI
JCI-İzmir bünyesinde işlenen kişisel verileri ile ilgili kişisel veri sahipleri veri sorumlusu olan derneğe başvurarak KVKK madde 11 kapsamında öngörülen bazı haklardan yararlanabilecektirler. Bu çerçevede, kişisel veri sahipleri:
Kişisel veri işlenip işlenmediğini öğrenme,
Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, Kişisel verilerin silinmesini veya yok edilmesini isteme,
Yapılan işlemlerin ve kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
haklarına sahiptir.
Kişisel veri sahipleri bahsi geçen bu hakları derneğimiz internet sitesinde (www.jciizmir.org) yer alan "KVKK Başvuru Formu"nu doldurularak haklardan yararlanabilecektirler.
MADDE 10 – KİŞİSEL VERİLERİN AKTARIMI
Kişisel verilerin aktarılması, kural olarak kişisel veri sahibinin açık rızası ile veya KVKK madde 5’de öngörülen istisnalar doğrultusunda veya yeterli önlemler alınmak kaydıyla, KVKK madde 6/3 atfı ile diğer kanunlarda öngörülen istisnalar doğrultusunda meşru ve hukuka uygun olacaktır. JCI-İzmir bu ilkeler ve şartlar çerçevesinde kişisel veri aktarımı sağlayacaktır.
MADDE 11 – POLİTİKANIN VE İLGİLİ MEVZUATIN UYGULANMASI
Kişisel verilerin işlenmesi ve korunmasına konusunda mevcut kanun, ikincil düzenlemeler ve ilgili diğer mevzuat ile işbu Politika, JCI-İzmir bünyesinde uygulanacaktır. Ancak, yürürlükte bulunan mevzuat ile işbu Politika arasında herhangi bir uyumsuzluk veya uyuşmazlık bulunduğu takdirde yürürlükteki mevzuatın uygulama alanı bulacağını kabul etmektedir.
İşbu Politika, yürürlükte bulunan ilgili mevzuat tarafından belirlenen kuralların JCI-İzmir uygulamaları çerçevesinde somutlaştırılmış olup derneğimiz KVKK kapsamında öngörülen yürürlük sürelerine uygun hareket etmek üzere gerekli sistem ve hazırlıklarını yürütmektedir.
MADDE 12 – POLİTİKANIN YÜRÜRLÜĞÜ
Politika, dernek internet sitesi (www.jciizmir.org) üzerinden kişisel verileri işlenen herkesin erişimine sunulmuştur.