1. AMAÇ VE KAPSAM

İş Merkezleri Yönetim ve İşletim A.Ş. (“İŞMER” veya “ŞİRKET”) olarak sadece gerçek kişilere ait herhangi bir şekilde edindiğimiz her türlü kişisel verinin korunmasını ve bu çerçevede 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) ve ilgili mevzuat kapsamındaki gerekliliklerin eksiksiz olarak yerine getirilmesini kurum politikalarımızdan biri olarak benimsemiş bulunuyoruz.

İşbu Özel Nitelikli Kişisel Verileri Koruma Politikası (“Politika”), İŞMER tarafından herhangi bir şekilde toplanan özel nitelikli kişisel verilerin kaydedilmesi, kullanılması, paylaşılması, saklanması, silinmesi ve imhası süreçleri ile bunlara ilişkin prensipler hakkında İŞMER çalışanlarını, çalışan adaylarını, mevcut ve muhtemel müşterilerimizi, grup şirketi çalışan veya müşterilerini, www.ismer.com.tr sitemizi kullananları, ziyaretçilerimizi ve İŞMER ile ilişki içinde bulunan diğer gerçek kişileri bilgilendirmek; İŞMER bünyesinde özel nitelikli kişisel verilerin hukuka uygun olarak işlenmesi ve korunması, bu konuda farkındalığın oluşması hedefi doğrultusunda gerekli sistemleri oluşturmak ve mevzuata uyumu temin etmek için gereken düzenin kurulması amacıyla hazırlanmış ve ilan edilmiştir.

İŞMER, yürürlükteki ilgili mevzuat hükümleri gereğince bilginin gizliliğinin ve bütünlüğünün korunması amacıyla gerekli organizasyonu kurmak ve teknik önlemleri almak ve uyarlamak konusunda veri sorumlusu sıfatıyla sorumluluğu üstlenmiştir.

İŞMER, Özel Nitelikli Kişisel Verilere yetkisiz erişimi engellemek veya bu bilgilerin kaybı, hatalı kullanımı, ifşa edilmesi, değiştirilmesi veya imha edilmesine karşı ilgili verileri korumak için gerekli önlemleri almaktadır.

İŞMER, herhangi bir ihlali fark ettiği anda kullanıcıları bu konuda vakit kaybetmeksizin bilgilendirir, yasalara uygun bir şekilde takibinin yapılmasına olanak tanır ve bilgilerinin güvenliğini elinden gelen en iyi şekilde sağlar.

2. TANIMLAR

İşbu Politika’da kullanılan ve önem teşkil eden tanımlar aşağıda yer almaktadır:

İfade	Kanundaki Tanım
KVKK, Kanun	6698 Sayılı Kişisel Verilerin Korunması Kanunu.
Kurum	Kişisel Verileri Koruma Kurumu.
Kurul	Kişisel Verileri Koruma Kurulu.
Politika	www.ismer.com.tr adresinden ulaşılabilecek, İŞMER elinde bulunan kişisel verilerin yönetilmesine ilişkin usul ve esasları belirleyen Kişisel Verileri Koruma Politikası.
Veri Sorumlusu	Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak İş Merkezleri Yönetim ve İşletim A.Ş.
Veri İşleyen	Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişi.
İlgili Kişi	Kişisel verisi işlenen gerçek kişi (Politika’da “veri sahibi” şeklinde ifade edilmektedir).
Kayıt Ortamı	Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydı ile otomatik olmayan yollardan işlenen kişisel verilerin bulunduğu her türlü ortam.
Veri Kayıt Sistemi	Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi, dizin.
Kişisel Veri	Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Özel Nitelikli Kişisel Veri	Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler.
Kişisel Verilerin İşlenmesi	Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
Açık Rıza	Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
İmha	Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.
Periyodik İmha	Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.
Kişisel Veri İşleme Envanteri	Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter.

3. ROL VE SORUMLULUKLAR

İŞMER’in tüm departmanları işbu Politika’ya uyulmasını gözetmekle, Politika’da yer verilen yükümlülükleri yerine getirmekle, önlemleri almakla ve Kişisel Verilerin Korunması Komisyonu ile iş birliği yapmakla sorumludur.

4. TEMEL ESASLAR

4.1. POLİTİKA İLE YÖNETİLEN KİŞİ GRUPLARI

• Şirket Çalışanları: İŞMER ile hizmet akdi kurulmuş olan kişiler.
• Stajyerler: İŞMER’de stajyer olarak çalışan kişiler.
• Şirket Çalışan Adayları: İŞMER ile hizmet akdi kurulmamış ancak kurulmak üzere Şirket değerlendirmesine alınan kişiler.
• Şirket İş Ortakları Yetkilileri, Çalışanları: İŞMER’in ticari ilişki içinde olduğu kuruluşların, iş ortaklarının, tedarikçilerinin gerçek kişi yetkilileri, hissedarları, çalışanları.
• Diğer Gerçek Kişiler: Kişisel Verileri Koruma Politikası kapsamında olmayan tüm gerçek kişiler.

4.2. AYDINLATMA YÜKÜMLÜLÜĞÜ

KVKK md. 10’a göre; kişisel verilerin elde edilmesi sırasında veri sorumluları veya yetkilendirdiği kişilerce ilgili kişilerin bilgilendirilmesi gerekmektedir. Şirketimiz ilgili kişilere yönelik aydınlatma yükümlülüğünü yerine getirirken asgari olarak aşağıdaki konular hakkında ilgili kişileri bilgilendirmektedir:

• Veri sorumlusunun ve varsa temsilcisinin kimliği,
• Kişisel verilerin hangi amaçla işleneceği,
• İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
• Kişisel veri toplamanın yöntemi ve hukuki sebebi,
• Kanun’un 11 inci maddesinde sayılan ve ilgili kişilere tanınmış olan haklar ve bu hakların ne şekilde kullanılabileceği.

4.3. ŞİRKET TARAFINDAN YÜRÜTÜLEN İŞ FAALİYETLERİ KAPSAMINDA ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENME AMAÇLARI

• İnsan Kaynakları Süreçlerinin Planlanması,
• Çalışanlar İçin İş Akdi ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi,
• Çalışan Memnuniyeti ve Bağlılığı Süreçlerinin Yürütülmesi,
• Çalışanlar İçin Yan Haklar ve Menfaatleri Süreçlerinin Yürütülmesi,
• Yetenek / Kariyer Gelişimi Faaliyetlerinin Yürütülmesi,
• Performans Değerlendirme Süreçlerinin Yürütülmesi,
• Acil durum Yönetimi Süreçlerinin Yürütülmesi,
• Faaliyetlerin Mevzuata Uygun Yürütülmesi,
• İş Faaliyetlerinin Yürütülmesi / Denetimi,
• İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi,
• Denetim / Etik Faaliyetlerinin Yürütülmesi,
• İç Denetim / Soruşturma / İstihbarat Faaliyetlerinin Yürütülmesi,
• İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi.

4.4. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENME ŞARTLARI

Özel nitelikli kişisel veriler, Şirketimiz tarafından, işbu Politika’da belirtilen ilkelere uygun olarak ve Kişisel Verileri Koruma Kurulu’nun belirlediği ya da belirleyeceği asgari güvenlik önlemleri dahil olmak üzere gerekli her türlü idari ve teknik tedbirler alınarak ve aşağıdaki şartlardan en az birinin varlığı halinde işlenmektedir:

• İlgili kişinin açık rızasının olması,
• Kanunlarda açıkça öngörülmesi,
• Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
• İlgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması,
• Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,
• Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması,
• İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması,
• Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması.

4.5. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASINA İLİŞKİN ŞİRKET TARAFINDAN BENİMSENEN İLKELER

4.5.1. Özel Nitelikli Kişisel Veri İşleme Faaliyetlerinin Veri İşleme Şartlarına Uygun Olarak Gerçekleştirilmesi

İŞMER kişisel verilerin işlenmesi faaliyetlerini yürütürken, detayları Şirket KVK Politikası’nda belirtilmiş olan (i) temel ilkelere, (ii) kişisel veri işleme şartlarına ve (iii) özel nitelikli kişisel veri işleme şartlarına uygun hareket etmektedir.

4.5.2. Özel Nitelikli Kişisel Veri İşleme Şartlarına Uygunluk

İŞMER tarafından, hukuka aykırı olarak işlendiklerinde ayrımcılık yaratma riski taşıyan özel nitelikli kişisel verilerin işlenmesine ayrıca önem gösterilmektedir. Bu kapsamda, İŞMER tarafından özel nitelikli kişisel veri işlemesinde öncelikle hassasiyetle veri işleme şartlarının var olup olmadığı tespit edilmekte, hukuka uygunluk şartının varlığından emin olunduktan sonra veri işleme faaliyeti yürütülmektedir.

Özel nitelikli kişisel veriler, İŞMER tarafından, KVK Kurulu tarafından belirlenen yeterli önlemlerin alınması şartıyla aşağıdaki durumlarda işlenebilmektedir:

(1) Kişisel Sağlık Verilerinin İşlenmesi

İŞMER tarafından kişisel sağlık verileri, aşağıda sıralanan şartlardan birinin varlığı halinde işlenebilmektedir:

• Kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından veya
• Kişisel veri sahibinin açık rızasının varlığı halinde.

(2) Sağlık ve Cinsel Hayat Dışındaki Özel Nitelikli Kişisel Verilerin İşlenmesi

İŞMER tarafından, sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler (ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançları, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri); veri sahibinin açık rıza vermesi veya kanunlarda öngörülen hallerde işlenebilmektedir.

4.5.3. Özel Nitelikli Kişisel Verilerin İşlenmesinde Yeterli Önlemlerin Alınması

Özel nitelikli kişisel verilerin işlenmesinde Kişisel Verileri Koruma Kurulu’nun 31/01/2018 tarihli ve 2018/10 sayılı kararına uygun olarak İŞMER tarafından aşağıdaki önlemler alınır:

• Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik:
  1. Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilmesi,
  2. Gizlilik sözleşmelerinin yapılması,
  3. Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamlarının ve sürelerinin net olarak tanımlanması,
  4. Periyodik olarak yetki kontrollerinin gerçekleştirilmesi,
  5. Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerinin derhal kaldırılması, bu kapsamda kendisine tahsis edilen envanter varsa iade alınması.

• Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği elektronik ortamlara yönelik:
  1. Verilerin kriptografik yöntemler kullanılarak muhafaza edilmesi,
  2. Kriptografik anahtarların güvenli ve farklı ortamlarda tutulması,
  3. Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarının güvenli olarak loglanması,
  4. Verilerin bulunduğu ortamlara ait güvenlik güncellemelerinin sürekli takip edilmesi, gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,
  5. Verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmelerinin yapılması, bu yazılımların güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması.

• Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği fiziksel ortamlara yönelik:
  1. Özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alındığından emin olunması,
  2. Bu ortamların fiziksel güvenliğinin sağlanarak yetkisiz giriş çıkışların engellenmesi.

• Özel nitelikli kişisel verilerin kanuni olmayan yollarla ifşası durumunda alınacak tedbirler:

  Şirketimiz tarafından yürütülen özel nitelikli kişisel veri işleme faaliyeti kapsamında Özel Nitelikli Kişisel Verilerin hukuka aykırı olarak yetkisiz kimseler tarafından elde edilmesi durumunda, durum Kurul’un 24.01.2019 tarih ve 2019/10 sayılı kararına uygun biçimde Kurul’a en geç 72 (yetmiş iki) saat içerisinde bildirilecek ve ihlalden etkilenen ilgili kişilere mümkün olan en kısa süre içerisinde bilgilendirme yapılacaktır.

• Özel nitelikli kişisel veriler aktarılacaksa:
  1. İlgili kişinin açık rızasının bulunması durumunda Şirketimiz, özel nitelikli kişisel verileri, veri işleme amaçları doğrultusunda ve Kurul tarafından öngörülen yöntemler de dahil gerekli güvenlik önlemlerini alarak aktarabilmektedir.
  2. Kişisel verilerin, yukarıda belirtilen amaçlarla, iş süreçlerinin gerektirdiği ölçüde ve mevzuatın gerektirdiği işleme şartları ile KVKK’nın 8. ve 9. maddelerinde belirtilen kişisel verilerin aktarılmasına ilişkin kurallara uygun olarak, Kurul tarafından öngörülen yöntemler de dahil gerekli güvenlik önlemleri alınarak aktarımı yapılmakta ve bu kapsamda kullanılan sunucu ve elektronik ortamlarda saklanabilmektedir.
  3. Aşağıda yer alan şartların varlığı halinde kişisel veriler ilgili kişinin açık rızası aranmaksızın üçüncü kişilere aktarılabilecektir:
     • İlgili kişinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel veriler kanunlarda öngörülen hallerde,
     • İlgili kişinin sağlık durumuna ve cinsel hayatına ilişkin özel nitelikli kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından aktarılabilmektedir.
  4. Yapılan bu aktarımların niteliği ve paylaşım yapılan taraflar, veri sahibi ile İŞMER arasındaki ilişki türüne ve niteliğine, aktarımın amacına ve ilgili yasal dayanağa bağlı olarak değişmekte olup bu kapsamda İŞMER tarafından politikalar içerisinde alınmış olan tedbirler ile aşağıda yer verilen uygulama esas ve usulleri geçerlidir.
     • Verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılması,
     • Taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmesi ve kriptografik anahtarın farklı ortamda tutulması,
     • Verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınması ve evrakın “gizlilik dereceli belgeler” formatında gönderilmesi gerekir.

5. GÖZDEN GEÇİRME

Özel Nitelikli Kişisel Verileri Koruma Politikası ve kişisel bilgileri işleme şekli muhtelif zamanlarda gözden geçirebilir, tadil edebilir veya yenilenebilir. Güncellenmiş Politika www.ismer.com.tr adresinde bulunan internet sitesinden yayımlanır. Yenilenen şartlar, yayımlandıkları tarihten itibaren yürürlüğe girer.

6. İLETİŞİM

İşbu Politika veya diğer veri koruma uygulamalarımıza ilişkin sorular için İŞMER’e aşağıdaki adresten ulaşılabilir:

• E-posta: Bu e-Posta adresi istenmeyen posta engelleyicileri tarafından korunuyor. Görüntülemek için JavaScript etkinleştirilmelidir.
• İletişim adresi: Levent Mah. Meltem Sk. İş Kuleleri Kule 3 Asma Kat No:14/1 Beşiktaş/İstanbul
• Telefon numarası: 0212 987 63 49

İş Merkezleri Yönetim ve İşletim A.Ş.