İş Merkezleri Yönetim ve İşletim A.Ş. (“İŞMER”) olarak sadece gerçek kişilere ait herhangi bir şekilde edindiğimiz her türlü kişisel verinin korunmasını ve bu çerçevede 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) ve ilgili mevzuat kapsamındaki gerekliliklerin eksiksiz olarak yerine getirilmesini kurum politikalarımızdan biri olarak benimsemiş bulunuyoruz. İşbu Kişisel Verileri Koruma Politikası (“KVK Politikası” veya sadece “Politika”), İŞMER tarafından herhangi bir şekilde toplanan kişisel verilerin kaydedilmesi, kullanılması, paylaşılması, saklanması, silinmesi ve imhası süreçleri ile bunlara ilişkin prensipler hakkında İŞMER çalışanlarını, çalışan adaylarını, mevcut ve muhtemel müşterilerimizi, grup şirketi çalışan veya müşterilerini, www.ismer.com.tr sitemizi kullananları, ziyaretçilerimizi ve İŞMER ile ilişki içinde bulunan diğer gerçek kişileri bilgilendirmek amacıyla hazırlanmış ve ilan edilmiştir.

İŞMER, yürürlükteki ilgili mevzuat hükümleri gereğince bilginin gizliliğinin ve bütünlüğünün korunması amacıyla gerekli organizasyonu kurmak ve teknik önlemleri almak ve uyarlamak konusunda veri sorumlusu sıfatıyla sorumluluğu üstlenmiştir.

İŞMER, kişisel verilere yetkisiz erişimi engellemek veya bu bilgilerin kaybı, hatalı kullanımı, ifşa edilmesi, değiştirilmesi veya imha edilmesine karşı kişisel verileri korumak için gerekli önlemleri almaktadır.

İŞMER, herhangi bir ihlali fark ettiği anda kullanıcıları bu konuda vakit kaybetmeksizin bilgilendirir, yasalara uygun bir şekilde takibinin yapılmasına olanak tanır ve bilgilerinin güvenliğini elinden gelen en iyi şekilde sağlar.

1. Tanımlar

İfade Kanundaki Tanım
Açık rızaBelirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
Anonim hâle getirmeKişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi.
İlgili kişiKişisel verisi işlenen gerçek kişi (Politika’da “veri sahibi” şeklinde ifade edilmektedir).
İlgili kullanıcıVerilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusunun organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler.
İmhaKişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.
Kişisel veriKimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Kayıt OrtamıTamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.
Kişisel veri işleme envanteriVeri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter.
Kişisel verilerin işlenmesiKişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
KurulKişisel Verileri Koruma Kurulu
Özel nitelikte kişisel veriKişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.
Periyodik İmhaKanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.
Politikawww.ismer.com.tr adresinden ulaşılabilecek, İŞMER elinde bulunan kişisel verilerin yönetilmesine ilişkin usul ve esasları belirleyen Kişisel Veri Saklama ve İmha Politikası.
Veri işleyenVeri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi.
Veri kayıt sistemiKişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi.
Veri sorumlusuKişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi.

2. Kişisel Verilerin Toplanmasının Yasal Dayanağı

Kullanıcıların kişisel verilerinin kullanılması konusunda çeşitli kanunlarda düzenlemeler bulunmaktadır. En başta Anayasa’nın 20. maddesi, 5651 sayılı “İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun”, 6331 sayılı “İş Sağlığı ve Güvenliği Kanunu”, 6698 sayılı Kişisel Verilerin Korunması Kanunu ve diğer kanunlar ile bağlı mevzuatta kişisel verilerin korunması esasları belirlenmiştir.

3. Kişisel Verilerin Toplanma Yöntemleri

İŞMER kişisel verileri, bina ziyaretçilerinin ziyareti sırasında kendisinden, çalışanların veya adayların işe giriş başvuru ve kabul sürecinde sağladığı belge ve bilgilerden, çalışanların özlük dosyaları için temin ettikleri belge ve bilgilerden, sigorta evraklarından, tedarikçiler, alt yükleniciler ve iş ortaklarıyla yapılan sözleşmelerden ve bunların sözleşme kapsamında yetkilileri ve personelleri ile ilgili ilettiği belgelerden, İŞMER tarafından sunulan hizmet veya ürünlerden yararlanmak veya diğer bir amaçla İŞMER yetkilileri ile yüz yüze yapılan görüşmeler, etkinlik, seminer veya çağrı merkezleri, internet siteleri, mobil uygulamalar ve benzeri elektronik işlem platformları ile iletişime geçmesi sırasında veri sahibi tarafından doğrudan veri aktarılmasıyla veya verileri elde etmeye yönelik çerez, kamera veya benzeri teknolojiler kullanılmasıyla, sosyal medya veya diğer kamuya açık mecralar aracılığıyla, yardım masasından, bağlı bulunduğu grup şirketlerinden, kamu kurum ve kuruluşlarıyla ve yargı yerlerinden ve diğer meşru, yasal yollarla ve Kanuna uygun olarak toplamaktadır.

4. Kişisel Verilerin İşlenmesine İlişkin Temel Kurallar

İŞMER kişisel verileri Kanun çerçevesinde ve aşağıda belirtilmiş olan temel kurallara uygun olarak işlemektedir.

  • a. Hukuka ve dürüstlük kurallarına uygun olması,
  • b. Doğru ve güncel olması,
  • c. Şeffaflık ve aydınlatma yükümlülüğünün yerine getirilmesi,
  • d. Veri azaltılması ve veri ekonomisinin sağlanması,
  • e. Belirli, açık ve meşru amaçlar için işlenmesi,
  • f. İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması,
  • g. İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi.

5. Kişisel Verilerin İşlenme Amaçları

Kişisel Bilgiler, Politika’nın parçası olan ve www.ismer.com.tr internet sitemizde ilan edilmiş diğer metinlerde ve aşağıda yazılı amaçlar için kullanılacaktır, hiçbir durumda öngörülen amacın dışında kullanılmayacaktır.

İŞMER, faaliyetleri çerçevesinde işlemekte olduğu kişisel verileri aşağıdaki amaçlar doğrultusunda saklar.

  1. Acil Durum Yönetimi Süreçlerinin Yürütülmesi
  2. Bilgi Güvenliği Süreçlerinin Yürütülmesi
  3. Çalışan Adayları ve Stajyer Başvuru Süreçlerinin Yürütülmesi
  4. Çalışan Memnuniyeti ve Bağlılığı Süreçlerinin Yürütülmesi
  5. Çalışanlar İçin İş Akdi ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi
  6. Çalışanlar İçin Yan Haklar ve Menfaatleri Süreçlerinin Yürütülmesi
  7. Denetim / Etik Faaliyetlerinin Yürütülmesi
  8. Eğitim Faaliyetlerinin Yürütülmesi
  9. Erişim Yetkilerinin Yürütülmesi
  10. Faaliyetlerin Mevzuata Uygun Yürütülmesi
  11. Finans ve Muhasebe İşlerinin Yürütülmesi
  12. Firma / Ürün / Hizmetlere Bağlılık Süreçlerinin Yürütülmesi
  13. Fiziksel Mekan Güvenliğinin Temini
  14. Görevlendirme Süreçlerinin Yürütülmesi
  15. Hukuk İşlerinin Takibi ve Yürütülmesi
  16. İç Denetim/ Soruşturma / İstihbarat Faaliyetlerinin Yürütülmesi
  17. İletişim Faaliyetlerinin Yürütülmesi
  18. İnsan Kaynakları Süreçlerinin Planlanması
  19. İş Faaliyetlerinin Yürütülmesi / Denetimi
  20. İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi
  21. İş Süreçlerinin İyileştirilmesine Yönelik Önerilerin Alınması ve Değerlendirilmesi
  22. İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi
  23. Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi
  24. Mal / Hizmet Satış Sonrası Destek Hizmetlerinin Yürütülmesi
  25. Mal / Hizmet Satış Süreçlerinin Yürütülmesi
  26. Mal / Hizmet Üretim ve Operasyon Süreçlerinin Yürütülmesi
  27. Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi
  28. Müşteri Memnuniyetine Yönelik Aktivitelerin Yürütülmesi
  29. Organizasyon ve Etkinlik Yönetimi
  30. Pazarlama Analiz Çalışmalarının Yürütülmesi
  31. Performans Değerlendirme Süreçlerinin Yürütülmesi
  32. Reklam / Kampanya / Promosyon Süreçlerinin Yürütülmesi
  33. Riski Yönetimi Süreçlerinin Yürütülmesi
  34. Saklama ve Arşiv Faaliyetlerinin Yürütülmesi
  35. Sosyal Sorumluluk ve Sicil Toplum Aktivitelerinin Yürütülmesi
  36. Sözleşme Süreçlerinin Yürütülmesi
  37. Sponsorluk Faaliyetlerin Yürütülmesi
  38. Talep / Şikayetlerin Takibi
  39. Taşınır Mal ve Kaynakların Güvenliğinin Temini
  40. Ücret Politikasının Yürütülmesi
  41. Ürün / Hizmetlerin Pazarlama Süreçlerinin Yürütülmesi
  42. Veri Sorumlusu Operasyonlarının Güvenliğinin Temini
  43. Yetkili Kişi, Kurum ve Kuruluşlara Bilgi Verilmesi
  44. Yönetim Faaliyetlerinin Yürütülmesi
  45. Ziyaretçi Kayıtlarının Oluşturulması ve Takibi
  46. Şirketimizin tabi olduğu Kanunlara Uyum Sağlanabilmesi

6. Kişisel Verilerin İşlenme Şartları

Kişisel veriler, ilgili kişinin açık rızasının bulunduğu durumda işlenebilir. Açık rıza olmayan hallerde kişisel veriler ancak aşağıdaki şartların varlığı halinde işlenebilir:

  • a. Kanunlarda açıkça öngörülmesi,
  • b. Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
  • c. Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
  • d. Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
  • e. Kişisel verinin ilgili kişinin kendisi tarafından alenileştirilmiş olması,
  • f. Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
  • g. İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

İŞMER, özel nitelikli verileri ilgili kişinin açık rızası olmadan işlememektedir. Bununla beraber sağlığa ilişkin veriler istihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması halinde işlenebilmektedir.

Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemler alınmaktadır.

7. Kişisel Verilerin Saklanma Süreleri

İŞMER kişisel verileri gerek faaliyet konusunun gerçekleştirilmesi gerek hukuki süreçlerin gereği ve gerekse de resmi kurum, kuruluş ve yargı yerlerinin muhtemel talepleri nedeniyle, fiziki evrak ve/veya dijital ortamda, ancak gerekli olduğu kadar ve güvenli ortamda saklamaktadır. İŞMER, bir kişisel verinin kanun ve mevzuat gereği daha uzun süre saklanmasını gerektiren haller dışında ya o kişisel verinin işlenme amacı sona erdiği veya -kanun ve mevzuata aykırı olmamak kaydıyla- kişisel veri sahibinin talebi üzerine, söz konusu veriyi silecek, imha edecek veya anonimleştirilecektir. Bu şekilde silinen veriler artık herhangi bir şekilde kullanılamayacaktır.

İŞMER, kanunlar ve ilgili mevzuat daha uzun bir süre öngörmediği sürece kişisel verileri aşağıda yazılı süreler kadar saklanır:

Süreç Saklama Süresi
Çalışan adayı başvuruları (işe alınmayan) Başvurunun olumsuz sonuçlanması (adayın açık rıza vermemesi halinde başvurunun olumsuz sonuçlanmasını müteakip derhal, açık rıza vermesi halinde başkaca bir pozisyon için gelecekte yeniden değerlendirilmek üzere başvuru tarihinden itibaren 2 yıl)
Personel özlük dosyaları Herhangi bir sebeple sözleşmenin sona ermesinden itibaren 10 yıl
İş Sağlığı ve Güvenliği faaliyetleri kapsamında çalışana ait işlenen kişisel veriler (kimlik + iletişim + sağlık + eğitim) Herhangi bir sebeple sözleşmenin sona ermesinden itibaren 10 yıl
İş kazası Sözleşmesel ilişki varsa: Herhangi bir sebeple sözleşmenin sona ermesinden itibaren 15 yıl
Sözleşmesel ilişki yoksa: Herhangi bir sebeple kazanın meydana gelmesinden itibaren 15 yıl
Ziyaretçi ve Toplantı Katılımcılarının Kaydı Etkinliğin Sona Ermesini Takiben 2 Yıl
Kamera Kayıtları Kaydın tutulduğu andan itibaren 30 Gün geçmesi ile otomatik olarak silinir (Herhangi bir adli vakanın tespit edilmesi halinde kayıt 1 yıl süreyle yedeklenir ve akabinde Politika hükümlerine göre imha edilir)
Log Kayıtları (Donanım ve Yazılım Erişim Süreçleri) Kaydın tutulduğu andan itibaren 2 yıl
Hukuki İşlem Muhaberattan Çıkış Tarihinden İtibaren 10 Yıl
Talep ve şikâyet yönetimi Talep ve şikâyetin çözüme kavuştuğu tarihten itibaren 10 yıl
Denetim belgeleri Denetimin türü, mahiyeti, denetim sonucunda alınacak aksiyonlar gözetilir. Her hâlükârda denetim ile ilgili hukuki gereklilik sona erdiği tarihinden itibaren 10 yıl.
Müşteri kayıtları Kişi ile son müşteri işlemi tarihinden itibaren 10 yıl
Potansiyel müşteri kayıtları Son olumsuz görüşme tarihinden itibaren 10 yıl
İmha tutanağı İmhanın gerçekleştirilmesinden itibaren 3 yıl
Açık rıza ile işlenebilen kişisel veriler Açık rızanın geri alınması
5237 sayılı Türk Ceza Kanunu kapsamında soruşturmayı gerektiren haller Ceza zamanaşımı süresi
Dava/icra/arabuluculuk dosyalarının tutulması Dosyanın kesinleşmesinden itibaren 10 yıl
Gelen – giden evrak/ veri sorumlusu işleyişini ilgilendiren yazışmaların- evrakların takibi Evrakın niteliğine göre işbu tabloda yer alan süreler uygulanır.
E-posta içerikleri E-postalar 6 aylık periyotlar halinde gözden geçirilir.
E-postada kişisel veri ihtiva eden belge ve kayıtlara bakılarak işbu tabloda yer alan süreler uygulanır.
Tabloda belirtilmeyen hususlar İşbu tabloda belirtilmeyen süreçlere ait kişisel verilere yönelik saklama ve imha süreleri; kişisel veri ihtiva eden belge ve kayıtların saklanmak zorunda olduğu süre, faaliyet gösterilen sektörde teamül kabul edilen süreler, ilgili kişiler ile hukuki ilişkinin devam edeceği süre, hukuka ve dürüstlük kurallarına uygun olarak veri sorumlusunun meşru menfaatinin geçerli olacağı süre, kişisel verinin güncelliği gibi hususların göz önünde bulundurularak ve tablodan yararlanılarak belirlenir.
Birimler bazında saklama ve imha sürecinin işletilmesi Saklama ve imha süreçleri işletilirken, ilgili birimden/birimlerden saklama ve imhaya konu kişisel veri veya kişisel veri ihtiva eden belge temin edilir. Saklama ve imha süreçleri ilgili birim/birimler ile koordineli bir şekilde işletilir.
İmhanın ertelenmesi İşbu tabloda belirtilen saklama, silme, yok etme, anonim hale getirme zamanlarının sonuna gelindiğinde, saklama ve imhaya ilişkin değerlendirme yapılır. Değerlendirme sonucunda kişisel verinin (veya kişisel veri ihtiva eden belgenin) güncelliği, hukuki veya sözleşmesel ilişkinin ve yükümlülüklerinin devam etme durumu, kişisel veriye veya ilgili belgeye duyulan objektif ihtiyaç durumu değerlendirilerek saklama ve imha süreci işletilir veya makul bir süreye ertelenir. Bu işlem tutanak altına alınır. Tutanak, 15 yıl süre ile saklanır.

8. Kişisel Verilerin Güvenliğinin Sağlanması İçin Alınan Teknik ve İdari Tedbirler

İŞMER, kişisel verilerin hukuka uygun işlenmesi, kişisel verilere sadece yetkili kişilerin erişiminin mümkün olması, kişisel verilerin güvenli şekilde saklanması için gerekli tüm teknik ve idari önlemleri almıştır. İŞMER bu hususta, güvenlik seviyesini ihtiyaçlara göre güncellemektedir. İŞMER bu teknik ve idari tedbirler kapsamında aşağıdaki önlemleri almaktadır:

8.1. Teknik Tedbirler

  • Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
  • Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır.
  • Anahtar yönetimi uygulanmaktadır.
  • Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.
  • Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.
  • Gerektiğinde veri maskeleme önlemi uygulanmaktadır.
  • Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
  • Güncel anti-virüs sistemleri kullanılmaktadır.
  • Güvenlik duvarları kullanılmaktadır.
  • Kağıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir.
  • Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
  • Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
  • Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
  • Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.
  • Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır.
  • Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
  • Mevcut risk ve tehditler belirlenmiştir.
  • Saldırı tespit ve önleme sistemleri kullanılmaktadır.
  • Sızma testi uygulanmaktadır.
  • Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir.
  • Şifreleme yapılmaktadır.
  • Veri kaybı önleme yazılımları kullanılmaktadır.

8.2. İdari Tedbirler

  • Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.
  • Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
  • Çalışanlar için yetki matrisi oluşturulmuştur.
  • Gizlilik taahhütnameleri yapılmaktadır.
  • İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
  • Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
  • Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
  • Kişisel veri güvenliğinin takibi yapılmaktadır.
  • Kişisel veriler mümkün olduğunca azaltılmaktadır.
  • Kişisel veri işlemeye başlamadan önce ilgili kişileri aydınlatma yükümlülüğü yerine getirilmektedir.
  • Kişisel veri işleme envanteri hazırlanmıştır.

8.3. Kişisel Verilerin Korunması Konusunda Alınan Tedbirlerin Denetimi

İŞMER, Kanunun 12. maddesine uygun olarak, kendi bünyesinde gerekli denetimleri yapmakta veya yaptırmaktadır. Bu denetim sonuçları İŞMER’in iç işleyişi kapsamında konu ile ilgili bölüme raporlanmakta ve alınan tedbirlerin iyileştirilmesi için gerekli faaliyetler yürütülmektedir.

8.3.1. Kişisel Verilerin Yetkisiz Bir Şekilde İfşası Durumunda Alınacak Tedbirler

İŞMER, Kanunun 12. maddesine uygun olarak işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde bu durumu en kısa sürede ilgili kişisel veri sahibine ve Kurul’a bildirilmesini sağlayan sistemi yürütmektedir. Kurul tarafından gerek görülmesi halinde, bu durum, Kurul’un internet sitesinde veya başka bir yöntemle ilan edilebilecektir.

8.3.2. Kişisel Veri Sahiplerinin Yasal Haklarının Gözetilmesi

İŞMER, kişisel veri sahiplerinin KVK Politikası ve Kanunun uygulanması ile tüm yasal haklarını gözetir ve bu haklarının korunması için gerekli tüm önlemleri alır. Kişisel veri sahiplerinin hakları ile ilgili ayrıntılı bilgiye işbu Politika’da yer verilmiştir.

8.4. Özel Nitelikli Kişisel Verilerin Korunması

Kanun birtakım kişisel verilere, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine ve/veya ayrımcılığa sebep olma riski nedeniyle özel önem atfetmiştir. Bu veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir. Kanun ile “özel nitelikli” olarak belirlenen ve hukuka uygun olarak işlenen özel nitelikli kişisel verilerin korunmasına İŞMER tarafından azami hassasiyet gösterilmektedir. Bu kapsamda, İŞMER tarafından, kişisel verilerin korunması için alınan teknik ve idari tedbirler, özel nitelikli kişisel veriler bakımından da azami özenle uygulanmakta ve bu konuda İŞMER bünyesinde gerekli denetimler sağlanmaktadır.

9. Kişisel Bilgilerinin Yurtiçinde ve Yurtdışına Aktarımı

İŞMER, Kanunda öngörülen şartlara uymak ve gerekli güvenlik önlemlerini almak kaydıyla, KVK Politikası’nın 5. Maddesindeki “Kişisel Verilerin İşlenme Amaçları” başlığı altında gösterilen amaçlarla ve KVK Politikası’nın 6. Maddesindeki “Kişisel Verilerin İşlenme Şartları” başlığı altında sayılan hukuki şartların varlığı halinde kişisel verileri yurt içinde yerleşik üçüncü kişilere aktarır ve yurt içinde bulunan sunucularda veya diğer elektronik ortamlarda saklar. Kişisel verilerin aktarıldığı üçüncü kişiler, veri sahibi ile İŞMER arasındaki ilişkinin niteliğine göre değişebilmekle birlikte, genel olarak aşağıdaki gibidir:

  • İŞMER iştiraklerine,
  • İŞMER’in denetimini yapan kişi ve kurumlara,
  • İlgili mevzuat hükümlerine göre İŞMER’in ticari faaliyetlerine ilişkin stratejilerin tasarlanması ve denetim amaçlarıyla sınırlı olarak Türkiye İş Bankası A.Ş.’ye,
  • Kanuna uygun olarak talep ettiği amaçla sınırlı olarak Kamu kurum, kuruluşları ile yargı yerlerine,
  • Akdedilen sözleşmedeki yükümlülüklerin ifası amacıyla sınırlı olarak İŞMER’in iş ortakları, tedarikçileri ve alt yüklenicileri,
  • Hizmet kalitemizin artırılması ve/veya kişisel veri güvenliği amacına hizmet etmek üzere danışman firmalara (örn. Sızma testi).

İŞMER, Veri Sahibinin açık rızası ile kişisel verileri yurt dışına aktarır. Ancak KVK Politikası’nda sayılan hukuka uygunluk sebeplerinin varlığı halinde kişisel veriler veri sahibinin açık rızası olmaksızın yurt dışına aktarılabilir. Bu durumda Kanunun 9. Maddesi ile uyumlu bir şekilde,

  • Kişisel verinin aktarılacağı yabancı ülkede yeterli korumanın bulunması;
  • Yeterli korumanın bulunmaması durumunda ise İŞMER, ilgili yabancı ülkedeki veri sorumlularının yeterli korumayı sağladığına dair yazılı olarak taahhüt ve Kurul’dan gerekli yasal izni alır.

Uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiye’nin veya ilgili Veri Sahibinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, İŞMER ancak ilgili kamu kurum veya kuruluşunun görüşünü alarak Kurul’un izniyle yurt dışına aktarım gerçekleştirebilir.

10. Kişisel Veri Sahibinin Hakları, Hakların Kullanılması ve Değerlendirilmesi

10.1 Kişisel Veri Sahibinin Aydınlatılması

İŞMER, Kanunun 10. maddesine uygun olarak, kişisel verilerin elde edilmesi sırasında kişisel veri sahiplerini aydınlatmaktadır. Bu kapsamda varsa, İŞMER temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile kişisel veri sahibinin sahip olduğu hakları konusunda aydınlatma yapılmaktadır.

10.2 Kişisel Verilerin Korunması Kanunu Uyarınca Kullanıcıların Hakları

Kişisel veri sahibi, Kanun uyarınca kişisel verilerinin;

  • işlenip işlenmediğini öğrenme,
  • işlenmişse bilgi talep etme,
  • işlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme,
  • yurt içinde/yurt dışında aktarıldığı 3. kişileri bilme,
  • eksik/yanlış işlenmişse düzeltilmesini isteme,
  • Kanunun 7. maddesinde öngörülen şartlar çerçevesinde silinmesini/yok edilmesini isteme,
  • aktarıldığı 3. kişilere yukarıda sayılan (d) ve (e) bentleri uyarınca yapılan işlemlerin bildirilmesini isteme,
  • münhasıran otomatik sistemler ile analiz edilmesi nedeniyle aleyhine bir sonucun ortaya çıkmasına itiraz etme,
  • Kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahiptir.

10.3 Kişisel Veri Sahibinin Haklarını İleri Süremeyeceği Haller

Kanunun 28. maddesi gereğince aşağıdaki haller Kanun kapsamı dışında tutulduğundan, kişisel veri sahipleri aşağıdaki hallerde, işbu Politika’nın 10/2. maddesinde sayılan haklarını ileri süremezler:

  • Kişisel verilerin, 3. kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi;
  • Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi;
  • Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi;
  • Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi;
  • Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.

Kanunun 28/2. maddesi gereğince; aşağıda sıralanan hallerde Kişisel Veri Sahipleri zararın giderilmesini talep etme hakkı hariç, işbu Politika’nın 10/2. maddesinde sayılan haklarını ileri süremezler:

  • Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.
  • Kişisel veri sahibi tarafından kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.
  • Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.
  • Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.

10.4 Kişisel Veri Sahibinin Haklarını Kullanması

Kişisel Veri Sahipleri işbu Politika’nın 10/2. maddesinde sayılan haklarına ilişkin taleplerini kimliklerini tespit edecek bilgi ve belgelerle ve aşağıda belirtilen yöntemlerle veya Kurul’un belirlediği diğer yöntemlerle www.ismer.com adresinden ulaşabilecekleri Başvuru Formunu doldurup imzalayarak İŞMER’e ücretsiz olarak iletebileceklerdir:

  1. Başvuru Formu doldurulduktan sonra ıslak imzalı bir nüshasının bizzat elden veya noter aracılığı ile Levent Mah. Meltem Sok. İş Kuleleri Kule 2 K:22 Beşiktaş/İstanbul adresine iletilmesi,
  2. Başvuru Formu doldurulup 5070 Sayılı Elektronik İmza Kanunu kapsamındaki “güvenli elektronik imza” ile imzalandıktan sonra güvenli elektronik imzalı formun Bu e-Posta adresi istenmeyen posta engelleyicileri tarafından korunuyor. Görüntülemek için JavaScript etkinleştirilmelidir. adresine kayıtlı elektronik posta ile gönderilmesi,
  3. Başvuru sahibinin bizzat gelerek kimliğini tevsik edici belge ve başvuru konusuna ilişkin bilgi ve belgeler ile başvurarak İŞMER’e daha önce bildirilen ve İŞMER’in sisteminde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle Başvuru Formunu iletmesi.

Kişisel veri sahipleri adına üçüncü kişilerin başvuru talebinde bulunabilmesi için veri sahibi tarafından başvuruda bulunacak kişi adına noter kanalıyla düzenlenmiş özel vekâletname bulunmalıdır.

10.5 İŞMER’in Başvurulara Cevap Verme Usulü ve Süresi

İŞMER, başvuruda yer alan talepleri, talebin niteliğine göre en geç otuz gün içinde olmak üzere en kısa sürede ücretsiz olarak sonuçlandırır. Ancak söz konusu işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Kurul tarafından belirlenen tarifedeki ücret alınabilir. İŞMER, talebi kabul edebileceği gibi gerekçesini açıklayarak reddedebilir; cevabını yazılı olarak veya elektronik ortamda bildirir. Başvuruda yer alan talebin kabul edilmesi hâlinde İŞMER, talebin gereğini yerine getirir.

10.6 Kişisel Veri Sahibinin Kurul’a Şikâyette Bulunma Hakkı

Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; veri sahibi, cevabı öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün içinde Kurul’a şikâyette bulunma hakkına sahiptir.

11. Kişisel Verilerin Kaydedilmesine ilişkin Rıza

İŞMER’e açık rıza verilen veya www.ismer.com.tr adlı internet sitesinin kullanıldığı andan itibaren toplanan tüm bilgilerin, yukarıda belirtilen şekilde ve nedenlerle, bu KVK Politikasında anlatıldığı gibi, kullanılması kabul edilmiş olunur.

12. İŞMER’in KVK Politikası Uyarınca Yönetim Yapısı

İŞMER bünyesinde işbu Politika ve bu Politikaya bağlı ve ilişkili diğer politikaları yönetmek üzere İŞMER üst yönetiminin kararı gereğince Kişisel Veri Komitesini oluşturmuştur. Kişisel Veri Komitesi, Kişisel Veri Sahiplerinin verilerinin hukuka, işbu Politika ve bu Politikaya bağlı ve ilişkili diğer politikalara uygun olarak saklanması ve işlenmesi için gerekli işlemleri yapmakla yetkili ve görevlidir. Kişisel Veri Komitesinde görevlendirilenler ve görevlerine dair İŞMER internet sitesinde yayımlanan Kişisel Veri Saklama ve İmha Politikasında detaylı düzenlemeler yer almaktadır.

13. Politika’nın Güncellenmesi

Politika ve kişisel bilgileri işleme şekli muhtelif zamanlarda gözden geçirebilir, tadil edebilir veya yenilenebilir. Güncellenmiş Politika www.ismer.com.tr adresinde bulunan internet sitesinden yayımlanır. Yenilenen şartlar, yayımlandıkları tarihten itibaren yürürlüğe girer.

14. İletişim Bilgileri

KVK Politikası veya diğer veri koruma uygulamalarımıza ilişkin sorular için İŞMER’e aşağıdaki adresten ulaşılabilir:

  • E-posta: Bu e-Posta adresi istenmeyen posta engelleyicileri tarafından korunuyor. Görüntülemek için JavaScript etkinleştirilmelidir.
  • İletişim adresi: Levent Mah. Meltem Sk. İş Kuleleri Kule 2 Kat:22 Beşiktaş İstanbul-Türkiye
  • Telefon numarası: 0212 316 4999

İş Merkezleri Yönetim ve İşletim A.Ş.

Son Güncelleme Tarihi: 18.04.2025


Ek-1: Kişisel Veri Kategorileri

Veri Kategorisi İlgili Kişisel Veri Kategorisi İçerisine Giren Kişisel Veri Tipleri
Kimlik Ad soyad, anne-baba adı, anne kızlık soyadı, doğum tarihi, doğum yeri, medeni hali, nüfus cüzdan seri sıra no, TC kimlik no gibi.
İletişim E-posta adresi, telefon numarası, cep telefonu numarası, iletişim adresi, kayıtlı elektronik posta adresi (KEP) gibi.
Lokasyon Bulunduğu yerin konum bilgisi.
Özlük Bordro bilgileri, disiplin soruşturması, işe giriş-çıkış belgeleri, mal bildirimi bilgileri, özgeçmiş bilgileri, performans değerlendirme belgeleri gibi.
Hukuki İşlem Adli makamlarla yazışmalar, dava dosyasındaki bilgiler gibi.
Müşteri İşlem Çağrı merkezi kayıtları, fatura, senet, çek bilgileri, talep ve talimatlar, sipariş bilgileri gibi.
Fiziksel Mekan Güvenlik Bilgisi Giriş çıkış logları, ziyaret bilgileri, kamera kayıtları gibi.
İşlem Güvenliği IP adres bilgileri, internet sitesi giriş çıkış bilgileri, şifre ve parola bilgileri gibi.
Risk Yönetimi Ticari, teknik, idari riskleri yönetilmesi için işlenen bilgiler gibi.
Finans Bilanço bilgileri, finansal performans bilgileri, kredi ve risk bilgileri, malvarlığı bilgileri gibi.
Pazarlama Bilgisi Alışveriş geçmişi bilgileri, anket, çerez kayıtları, kampanya çalışmasıyla elde edilen bilgiler
Görsel ve İşitsel Kayıtlar Fotoğraflar, kamera kayıtları ve ses kayıtları
Mesleki Deneyim Diploma bilgileri, gidilen kurslar, meslek içi eğitim bilgileri, sertifikalar, transkript bilgileri gibi.
Özel Nitelikte Veri Irk ve etnik kökeni, siyasi düşünce bilgileri, siyasi parti üyeliği bilgisi, felsefi, inanç, din, mezhep ve diğer inançlar verisi, kılık ve kıyafet bilgisi, dernek üyeliği, vakıf üyeliği, sendika üyeliği, cinsel hayat, biyometrik veri, genetik veri.
Sağlık Bilgileri (Özel Nitelikte Veri) Engellilik durumuna ait bilgiler, kan grubu bilgisi, kişisel sağlık bilgileri, kullanılan cihaz ve protez bilgileri gibi.
Ceza Mahkumiyeti ve Güvenlik Tedbirleri Ceza mahkumiyetine ilişkin bilgiler, güvenlik tedbirlerine ilişkin bilgiler gibi.