1. AMAÇ

2016 tarihli 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“KVK” veya ‘‘Yasa’’) tüm hükümleri ile 2018 yılında yürürlüğe girmesi ile “kişisel veriler” konusu yaşamımızdaki yerini almıştır. Yasanın tanımı ile bir “Veri Sorumlusu” olarak çalışanlar, çalışan adayları, işyeri temsilcileri üyeler, tedarikçiler, tedarikçi çalışanları, ziyaretçiler ve temas ettiğimiz diğer tüm gerçek kişilerin kişisel verilerini ticari, idari ve sosyal amaçlarla işlediğimiz bütün gerçek kişilerin temel haklarının korunması konusuna önem veriyoruz. Bu bağlamda kişisel verilerin korunması için yasanın öngördüğü idari ve teknik tedbirleri uygulamak için Gizlilik Politikamızı hazırladık.

2. KAPSAM

Gizlilik Politikamız kişisel verilerin toplanması, kullanılması, paylaşması ve saklanması süreçleri ve prensiplerine ilişkin Sendika genelinde uygulanacak genel politikaları tanımlamayı amaçlamaktadır. Sendika olarak kişisel veriye dokunanlar başta olmak üzere ilgileri oranında çalışanlarımızın tamamının Gizlilik Politikasına uyulması zorunludur. Gizlilik Politikamız kişisel verilerin korunması ile ilgili tüm ön aydınlatma metinleri, aydınlatma metinleri, sözleşmeler, taahhütnameler, uyarılar, formlar gibi uyum araçları ile politikalar ve yönergelerden oluşan kontrol araçlarımızı bir araya getiren çatı belge konumundadır.

Bu politika belgesi aynı zamanda kuruluşumuz tarafından işlenen tüm kişisel verileri ve bunların işlenme koşullarını düzenleyip, tanımlayan bir temel belge olarak veri sahibi gerçek kişilerin de en detaylı ve kapsamlı bilgi alabilecekleri bir aydınlatma aracıdır.

Gizlilik Politikası dinamik bir belge olarak Sendikamızın kişisel verileri işleme şartlarında ve araçlarında yaşanacak değişiklikler, ilgili kişilerin başvuruları ve şikayetleri ile çalışanlarımızın ve diğer tarafların önerileri doğrultusunda yenilenecek ve güncel tutularaktır.

3. VERİ SORUMLUSUNUN KİMLİĞİ

ÖZ FİNANS-İŞ (ya da “Sendika”) merkezi, şubeleri ve işyeri temsilcileri üyeler, çalışanlar, çalışan adayları, tedarikçiler, tedarikçi çalışanları ve ziyaretçiler başta olmak üzere yasadan kaynaklanan faaliyetlerini yürütürken temas kurduğu ve kişisel verilerini işlediği tüm gerçek kişilere karşı “Veri Sorumlusu” statüsündedir ve yasadan kaynaklanan yükümlülükleri yerine getirmekle yükümlüdür. ÖZ FİNANS-İŞ, bu yükümlülüklerini aldığı uyum ve kontrol araçları vasıtasıyla aldığı idari tedbirler ile uygun ve ölçülü seviyedeki teknik tedbirlerle yerine getirir.

Adı: ÖZ FİNANS-İŞ ,

Ünvan: ÖZ BANKA, FİNANS VE SİGORTA ÇALIŞANLARI SENDİKASI

Adres: Beştepe Mahallesi Merhale Sokak No:8 Yenimahalle /Ankara

İrtibat Kişisi: <İRTİBAT_KİŞİSİNİN_ADI>

Tel : 0312 341 77 85

E-posta: ÖZ FİNANS-İŞ , Beştepe Mahallesi Merhale Sokak No:8 Yenimahalle /Ankara

4. TEMEL KAVRAMLAR

Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza

Anonim hale getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi

İlgili kişi: Kişisel verisi işlenen gerçek kişi

Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi

Kişisel veriye dokunan çalışan: Görev tanımı gereği Sendika namına ilgili kişilerin kişisel verilerini işleyen çalışanlar

Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi

Komite: Sendika bünyesinde “KVK Komitesinin Görev ve Sorumlulukları Yönergesi”ne uygun olarak oluşturulan, kuruluş, birimleri ve çalışanları tarafından yürütülen tüm kişisel veri süreçlerinin izlenmesi, politikalara uyulup uyulmadığının kontrol edilmesi, kişisel veri süreçlerinin Sendika adına yürütülmesi gibi görevleri bulunan dahili Komite

Kurul: Kişisel Verileri Koruma Kurulu

Kurum: Kişisel Verileri Koruma Kurumu

KVK: 6698 sayılı Kişisel Verileri Koruma Kanunu

Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik veriler

Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi

Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi

Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi

Ortak veri sorumlusu: Sendikanın ticari ve kurumsal faaliyetleri kapsamında kişisel verileri paylaştığı, bu paylaşım süresince ortak olarak kişisel veriler üzerinden işleme faaliyetleri gerçekleştirdiği diğer veri sorumlusu.

Bağımsız veri sorumlusu: Sendikanın ticari ve kurumsal faaliyetleri kapsamında kişisel verileri bir defalığına paylaştığı diğer veri sorumlusu.

5. KİŞİSEL VERİLERİN İŞLENME AMAÇLARI

Kuruluşumuzda ilgili kişilere ait kişisel veriler, tamamen ve doğrudan Sendikanın faaliyetleri ve ilgili kişiyle olan ticari, iş veya hukuki bağla ilişkili olmak üzere; 

  1. Sendika tarafından yürütülen faaliyetlerin icrası,
  2. Çalışanların iş sözleşmelerinin oluşturulması ve ifası,
  3. İş sürekliliğinin sağlanması, hukuki, teknik ve ticari iş güvenliğinin temini, iş sağlığı ve güvenliği süreç ve stratejilerinin planlanması ile icrası, 
  4. Sendika tarafından sunulan hizmetler hakkında ilgili mecralarda sunum, tanıtım ve bilgilendirme yapılması,
  5. Sendikamızın sözleşme ve yasadan doğan yükümlülüklerini eksiksiz ve doğru bir şekilde yerine getirebilmesi,
  6. İş ve uygulama stratejilerinin planlanması ve icrası, 
  7. Veri güvenliğinin sağlanması, verilerin arşivlenmesi ve Sendika bilişim ve iletişim altyapısının oluşturulması için kullanıcı adı, şifre gibi kişisel verilerle ortak alan gibi elektronik ortamlara erişimi yönetmek
  8. Kurumsal uzantılı e-posta hesaplarının kayıtlarının Sendikaya ait sunucularında tutulması ve takip edilmesi,
  9. Çalışanların ayrılması durumunda da önceden belirlenen kurallara uygun olarak hesaplara erişilmesi ve hesapların kullanımı,
  10. Taşınabilir ve/veya masa üstü bilgisayar, tablet vb cihazların Sendika faaliyetleri ve verilen hizmetlerin doğru ve verimli bir şekilde sürdürülebilmesi için izlenmesi, denetimi ve kontrol edilmesi,
  11. Şubelerimizle, ortaklarımızla ve kurumsal anlaşma imzalanan kuruluşlarla işbirliği yapılması, ortak faaliyetlerin yürütülmesi ve ortak hedefler doğrultusunda çalışılması,
  12. Sendikanın çalışanlarına sağladığı hizmetlerin yerine getirilmesi, uygulanması,
  13. Yurt içi ve yurt dışı görevlendirme, yolculuk ve konaklamaya ilişkin süreçlerin yürütülmesi,
  14. Sendika üyelerinin yararlanması ve sosyo ekonomik fayda sağlanması için firma ve kuruluşlarla kurumsal anlaşma imzalanması, bu kuruluşlarla kişisel verilerin paylaşılması ve bunun duyurulması,
  15. Sendikamızın insan kaynakları süreçlerinin planlanması ve yürütülmesi,
  16. İşe alım, iş ilişkisinin tesisi ve devamı, yetenek ve performans değerlendirme ile ölçme ve değerlendirme süreçlerinin yürütülmesi,
  17. Özlük dosyalarının oluşturulması, fiziksel ve elektronik ortamlarda saklanması,
  18. Mesai takibi,
  19. İşten ayrılış çıkış işlemleri ve mülakatlarına ilişkin süreçlerinin yürütülmesi,
  20. Sendika içi ve çevresinde fiziki mekan güvenliğinin sağlanması,
  21. Sendikamızın tabi olduğu mevzuattan doğan hukuki yükümlülüklerinin yerine getirilmesi, bir hakkın tesisi, kullanılması ve korunması kapsamında ve olası uyuşmazlık durumlarında Sendikamızın hukuki destek alınması
  22. Üyelerin bilgi, düşünce ve görüşlerini paylaşabilecekleri dijital ortamların kurulması ve işletilmesi,

amaçlarıyla işlenmektedir.

6. KİŞİSEL VERİSİ İŞLENEN İLGİLİ KİŞİLER

ÖZ FİNANS-İŞ genel ve yoğun olarak ilgili kişilerin verilerini bu Gizlilik Politikası ve diğer idari ve teknik tedbirler kapsamında işler. Bu kategoriler dışında yer alan gerçek kişilere ait kişisel verilerin işlenmesinde de işbu Gizlilik Politikası başta olmak üzere Sendika veri işleme politikalarına uyulacaktır. Kişisel verileri işlenmekte olan gerçek kişi kategorileri şunlardır:

  • Sendikamızın çalışanları,
  • Sendikamıza başvuran çalışan adayları
  • Sendikamızın üyeleri,
  • Tedarikçi kuruluşların temsilcileri ve çalışanları
  • İşveren temsilcileri,
  • Kuruluşumuzla ilgili iş ve işlemleri yürüten kamu görevlileri,
  • İnternet sitemizi ve mobil uygulamamızı kullanan kullanıcılar,
  • Büro ve ofislerimizi ziyaret eden ziyaretçiler

7. YASAL GEREKÇELER VE İŞLENEN KİŞİSEL VERİ KATEGORİLERİ

7.1. Çalışanların Kişisel Verileri

Sendika çalışanların, çalışan adaylarının ve stajyerlerin kişisel verilerini,

  • 4857 Sayılı İş Kanunu,
  • 6098 sayılı Türk Borçlar Kanunu,
  • 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,
  • 6331 sayılı İş Sağlığı ve Güvenliği Kanunu,
  • 4632 Bireysel Emeklilik Tasarruf ve Yatırım Sistemi Kanunu,
  • 2004 sayılı İcra İflas Kanunu,
  • 4904 sayılı Türkiye İş Kurumu ile İlgili Bazı Düzenlemeler Hakkında Kanun,
  • 3308 sayılı Mesleki Eğitim Kanunu,
  • 6102 sayılı Türk Ticaret Kanunu,
  • 5070 Sayılı Elektronik İmza Kanunu,
  • 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun,
  • Sosyal Sigorta İşlemleri Yönetmeliği,
  • 1774 sayılı Kimlik Bildirim Kanunu, Ücret, Prim, İkramiye Ve Bu Nitelikteki Her Türlü İstihkakın Bankalar Aracılığıyla Ödenmesine Dair Yönetmelik

ve benzeri mevzuata uygun olarak işlemektedir.

Sendika bu kapsamda çalışanların kimlik, iletişim, özlük, finans, mesleki deneyim, fiziksel mekan güvenliği, hukuki işlem, işlem güvenliği, risk yönetimi, görsel ve işitsel kayıtlar ve diğer bilgiler kategorileri ile inanç, dernek üyeliği, vakıf üyeliği, sendika üyeliği, sağlık bilgileri, ceza mahkumiyeti ve güvenlik tedbirleri gibi özel nitelikli verilerini işlemektedir.

7.2. Üyelerin Kişisel Verileri

Sendika faaliyetlerini yürütürken üyelere ait kişisel verileri,

  • 6356 sayılı Sendikalar ve Toplu İş Sözleşmesi Kanunu,
  • 5253 sayılı Dernekler Kanunu

ve benzeri mevzuata göre işlemektedir.

Sendika bu kapsamda üyelerin kimlik, iletişim, özlük, finans ve diğer bilgileri ile özel nitelikteki sağlık ve sendika üyeliği kategorilerindeki kişisel verilerini işlemektedir.

7.3. Tedarikçi Temsilcilerinin Kişisel Verileri

Sendika faaliyetlerini yürütmek için hizmet ve destek aldığı tedarikçi gerçek kişiler ile tedarikçi kuruluşların temsilcilerin kişisel verilerini,       

  • 6098 sayılı Türk Borçlar Kanunu,
  • 2004 sayılı İcra İflas Kanunu,
  • 6102 sayılı Türk Ticaret Kanunu,
  • 213 sayılı Vergi Usul Kanunu,
  • Vergi Usul Kanunu Genel Tebliğleri

ve benzeri mevzuata göre işlemektedir.

Sendika bu kapsamda müşteri ve tedarikçi gerçek kişilerin ve temsilcilerinin kimlik, iletişim, finans, hukuki işlem ve diğer bilgiler kategorilerindeki kişisel verilerini işlemektedir.

7.4. Danışman ve Kamu Çalışanlarının Kişisel Verileri

Sendika faaliyetlerinin yürütülmesi ve sürdürülebilirliğinin ve kalitesinin sağlanması amacıyla kontrol, denetim ve danışmanlık görevi yürüten ve hizmeti sunan denetçi, danışman ve kamu çalışanlarının kişisel verilerini,

  • 6356 sayılı Sendikalar ve Toplu İş Sözleşmesi Kanunu,
  • 5253 sayılı Dernekler Kanunu

ve benzeri mevzuata göre işlemektedir.

Sendika bu kapsamda denetçi, danışman ve kamu görevlilerinin kimlik, iletişim, özlük kategorilerindeki kişisel verilerini işlemektedir.

7.5. İşveren Temsilcilerinin Kişisel Verileri

Sendika üyeleri hakkındaki iş ve işlemlerinin takibi için işveren temsilcileri ve ilgili diğer çalışanlarının kişisel verilerini,

  • 6356 sayılı Sendikalar ve Toplu İş Sözleşmesi Kanunu,
  • 5253 sayılı Dernekler Kanunu

ve benzeri mevzuata göre işlemektedir.

Sendika bu kapsamda işveren temsilcilerinin kimlik, iletişim, özlük kategorilerindeki kişisel verilerini işlemektedir.

7.6. Ziyaretçilerin Kişisel Verileri

Kuruluş, tesislerini ve ofislerini ziyaret eden ziyaretçilerin kişisel verilerini güvenlikten kaynaklanan meşru menfaati çerçevesinde işlemektedir.

Sendika bu kapsamda ziyaretçilerin kimlik, iletişim ve fiziksel güvenlik kategorilerindeki verilerini işlemektedir.

7.7. İnternet Sitesi ve Mobil Uygulama Kullanıcıları

Sendikamıza ait (https://ozfinansis.org.tr) ve bünyesinde yer alan şubelerimize ait alt siteler ile mobil uygulamamızı kullanan kullanıcılarımızın kişisel verilerini üyelerimizle ve kamuoyu ile etkili iletişim kurabilmek, hizmetlerimiz, faaliyetlerimiz ve işçi hakları konusunda bilgi verebilmek ve bir sivil toplum örgütü olarak kamuoyu oluşturabilmek şeklindeki meşru menfaatlerimiz kapsamında işlemekteyiz.

Sendika bu kapsamda internet sitesi ve mobil uygulama kullanıcılarının kimlik, iletişim, özlük, görsel ve işitsel kayıtlar, eğitim gibi kişisel verileri ile sağlık ve sendika üyeliği gibi kişisel verilerini ve fiziksel güvenlik kategorilerindeki verilerini işlemektedir.

8. İLGİLİ KİŞİNİN HAKLARI

Kuruluş, Kanun kapsamında ilgili kişinin veri işlenmeden önce onayını alma hakkının olduğunu, verinin işlenmesinden sonra ise verisinin kaderini tayin etme hakkına sahip olduğunu kabul etmektedir.

Bu anlamda ilgili kişiler İrtibat Kişisine başvurarak;

  1. a) Kişisel verinizin işlenip işlenmediğini öğrenme,
  2. b) Kişisel verileriniz işlenmişse buna ilişkin bilgi talep etme,
  3. c) Kişisel verilerinizin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,

ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,

  1. d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
  2. e) Kanunun 7’nci maddesinde de öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
  3. f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  4. g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhinize bir sonucun ortaya çıkmasına itiraz etme,

ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğramanız hâlinde zararın giderilmesini talep etme haklarını kullanabilir.

Buna karşın, Şirket içinde anonimleştirilmiş verilerle ilgili olarak kişilerin bir hakkı bulunmamaktadır. Kişisel veriler, iş ve sözleşme ilişkisinin gereği, yargısal ya da kamu otoritesince kanuni bir yetkinin kullanılması durumunda ilgili kurum ve kuruluşlarla paylaşabilir.

Sayılan haklar kapsamındaki talepler, Sendika Başvuru Formunu eksiksiz doldurup ıslak imzanız ile iadeli taahhütlü mektupla ve kimlik fotokopileriyle (nüfus cüzdanı için sadece ön yüz fotokopisi olacak şekilde) İrtibat Kişisine ileterek gerçekleştirilir. Başvurular, içeriğine göre en kısa sürede ya da Kuruluşa ulaşmasından sonra en geç 30 gün içinde cevaplanır. Kuruluş, başvuru sahiplerinden başkaca ilgili bilgi ve belge talep edebilir.

 

9. KİŞİSEL VERİLERİN İŞLENMESİNDE UYULACAK TEMEL KURALLAR

ÖZ FİNANS-İŞ birimleri ve çalışanları ilgili kişilerin kişisel verilerini işlerken Gizlilik Politikası ve diğer kurumsal politikaların da üzerine inşa edildiği şu temel kurallara özen göstermeye dikkat edeceklerdir.

  1. Hukuka ve dürüstlük kurallarına uygun olma: Sendika kendi topladığı veya diğer taraflarca kendisi ile paylaşılan kişisel verilerin KVK’da belirtilen ilgili kişinin aydınlatılması, gerekli durumlarda verilerin işlenmesi için ilgili kişinin açık rızasının alınması gibi şartların yerine getirilip getirilmediğini kontrol eder ve sorgular. İlgili kişilerin aydınlatılması, açık rızalarının alınması veya bilgi için yaptıkları başvurulara cevap verirken dürüstlük kurallarına uygun bir şekilde davranır.
  2. Doğru ve gerektiğinde güncel olma: Sendika işlediği ve veri tabanlarında tuttuğu kişisel verilerin kontrol mekanizmaları elverdiği oranda doğru bilgiler içerdiğinden emin olmaya çalışır. Mümkün olduğu kadar verileri güncel tutmaya özen gösterir. Veri kaynaklarını doğru bilgi paylaşmaya ve değişikliklerde güncelleme yapmaya teşvik eder. Verilerin toplanması aşamasında doğru ve güncel olduklarını kontrol etmeye dikkat eder.
  3. Belirli, açık ve meşru amaçlar için işlenme: Kuruluş, kişisel verileri ancak bu Gizlilik Politikasında belirlenen belirli, açık ve meşru amaçlarla işler.
  4. İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma: Kuruluş, kişisel verileri işlendikleri amacın sınırları dışında başka bir amaç için işlememeye, böyle bir ihtiyaç doğduğunda ilgili kişinin aydınlatılması ve gerektiğinde açık rızasının alınmasına özen gösterir. Verileri sadece işlendikleri amaçla sınırlı ve hizmetin gerektirdiği ölçüde kullanır. İş amaçları dışında verileri işlemez, kullanmaz ve kullandırtmaz. Kişisel verilerin başka bir amaçla işlenmesi gerektiğinde Komite’nin gözetiminde ve onayı ile ilgili uyum araçlarında ve kontrol araçlarında düzeltmelerin yapılması sağlanır.
  5. Süreyle Bağlılık : Kuruluş, kişisel verileri ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmeye özen gösterir. Sözleşmeden kaynaklı kişisel verileri ilgili Kanunlardaki ihtilaf çıkma süreleri, ticaret ve vergi hukukunun gereklilikleri kadar bünyesinde muhafaza eder. Buna karşın bu amaçlar ortadan kalktığında Sendika kişisel veriyi siler ya da anonimleştirir. Hangi kategorideki verilerin ne kadar süre muhafaza edileceği Kişisel Veri Envanterinde belirlenmiştir.
  6. Veri Azaltma: Kuruluş, birimleri ve çalışanları yasaların ve ilgili mevzuatın zorunlu kıldığı kapsam ve süreler dışında, ancak işleme amacının gerektirdiği miktarda, amaçla ilgili kategorilerdeki verileri toplar ve gerekli olduğu sürece sistemlerinde işlemeye özen gösterir.
  7. Silme ve İmha Etme: Sendika işlemekte olduğu kişisel verileri bağlı olduğu yasalar, sosyal güvenlik, borçlar, vergi ve ticaret hukuku gibi ilgili alan mevzuatında öngörülen sürelerle sınırlı ve/veya işleme amacının gerekli kıldığı süreler boyunca saklar. Bu sürelerin sona ermesi durumunda ise Kişisel Veri Saklama, Silme, İmha ve Aktarma Politikasına uygun olarak ve Komitenin de izni ve gözetiminde süresi dolan kişisel verileri siler, yok eder veya anonim hale getirir.
  8. Gizlilik ve Veri Güvenliği: Kuruluşta kişisel verilerin işlenmesi, aktarılması ve saklanması süreçlerinin tamamında genel gizlilik kurallarına ve veri güvenliğinin sağlanmasına özen gösterilir, bu amaçla oluşturulan politika belgelerine ve kurallara uygun işlem yapılır. Gerekli idari ve teknik önlemler alınmasına özen gösterilir.

9.1. Kişisel Verilerin Korunmasına İlişkin Uyum Araçları

ÖZ FİNANS-İŞ, kişisel verilerin toplanması ve paylaşılması aşamalarında hukuka uygunluğu sağlamak ve gerekli idari ve teknik tedbirleri sağlayabilmek için aşağıda listelenen türde belge ve formlardan oluşan uyum araçlarını kullanır. Uyum araçları kişisel verisi toplanan veya kişisel verilerin paylaşıldığı bağımsız veri sorumlusu, ortak veri sorumlusu veya veri işleyen gibi taraflara göre sürekli güncel tutulur ve tarafların değiştiği her durumda yeniden düzenlenmesine özen gösterilir.

  1. Ön Aydınlatma Metinleri : Ön aydınlatma metinleri ilgili kişinin verisi işlenmeden önce yer ve zaman bakımından kısıtlılık bulunan ve tüm aydınlatma metninin okunmasına imkan bulunmayan durumlarda ve her bir duruma ilişkin ayrı ayrı üretilen ve kullanılan kısa metinlerdir
  2. Aydınlatma Metinleri : Aydınlatma metinleri verisi işlenecek gerçek kişi kategorilerine göre ayrı ayrı hazırlanmış, kişisel verilerin işlenmesi, işleme için hukuki gerekçeler, işleme amaçları, işleme şekilleri, verilerin hangi taraflarla ve ne şekilde paylaşıldığı, ilgili kişinin hakları gibi temel ve detaylı bilgiler içeren, ilgili kişinin kişisel verisinin işlenmesi hakkında detaylı olarak bilgilendirildiği metinlerdir.
  3. Sözleşmeler : Kişisel verilerin paylaşıldığı tedarikçi, ortaklar veya üçüncü tarafların kişisisel verileri kanuna ve Kuruluş’un veri işleme ilkelerine uygun olarak, gerekli idari ve teknik tedbirleri alarak işlemelerini garanti altına almak için hazırlanan veri aktaran ve veri alan her iki tarafı da bağlayacak şekilde hükümler içeren veri aktarım sözleşmeleridir.
  4. Taahhütnameler : Sendikanın işlediği kişisel verilere erişimi olan, dokunan ve işlem yapan gerçek kişilerin ve şahıs şirketlerinin bu konuda gerekli özeni göstermesini garanti altına alan ve yükümlülüklerini hatırlatan tek tarafın taahhütlerini içeren belgelerdir.
  5. Formlar : Kişisel verilerin toplanmasına ve/veya veri işleme süreçlerinin yönetimine ve takibine ilişkin işlemlerin yapılması için üretilmiş formlardır.
  6. Uyarılar : Kişisel verilere karşı ortaya çıkabilecek risklere ilişkin ilgili tarafları uyaran metinlerdir.
  7. Açık Rıza Metinleri : İlgili kişilerin ön aydınlatma veya aydınlatma yoluyla bilgilendirilmesinin ardından yasa gereği açık rızalarına başvurulmasını gerektiren durumlarda kullanılan özel nitelikli kişisel verilerin işlenmesi, yurt dışına aktarılması gibi özel açık rıza gerektiren durumlarda alınacak izinleri de içeren onay ve izin metinleridir.

9.2. Kişisel Verilerin Korunmasına İlişkin Kontrol Araçları

ÖZ FİNANS-İŞ, kişisel verilerin toplanması, işlenmesi, saklanması ve paylaşılmasına ilişkin süreçleri bu Gizlilik Politikası ile birlikte aşağıda sayılan bir dizi temel politika ve belgeden oluşan kontrol araçlarında belirtilen kural ve ilkelere uygun olarak yürütür.

  1. Kişisel Veri Envanteri: Sendikanın hangi biriminin, hangi faaliyetleri kapsamında, hangi kategorilerdeki, hangi kişisel verilerini işlediğini, bu veri işleme faaliyetinin kanuni dayanağını, kimlerin verisinin işlendiğini ve bu verilerin kimlerle paylaşıldığı, yurt dışı ile paylaşılıp paylaşılmadığını gösteren temel kişisel veri kontrol aracıdır. Kişisel veriye dokunan tüm birimler ve çalışanlar kişisel veri içeren faaliyetlerinde kişisel veri envanterini gözetmeli ve gerektiğinde güncellenmesini sağlamalıdır.
  2. VERBİS bildirimi: Kurum’un belirlediği standartlara göre VERBİS bildirim yükümlüsü olan Kuruluş’un VERBİS sistemine yüklediği bildirimdir. Kişisel veri envanterinde yapılacak değişiklikler ve güncellemelerin ardından en kısa sürede VERBİS bildirimi yenilenecektir.
  3. Gizlilik Politikası: Sendikanın kişisel veri işlemesine ilişkin temel çerçeveyi çizen, temel kuralları ve kapsamı belirleyen temel politika belgesidir. Alt politika belgelerine ilişkin süreç ve kapsamlarda değişiklik yapılması durumunda Gizlilik Politikası en kısa sürede ve uygun şekilde güncellenecektir
  4. Çerez Politikası : ÖZ FİNANS-İŞ bir internet sitesi işletmemektedir. Bu sebeple yürürlükte olan bir Çerez politikası bulunmamaktadır. Ancak Sendika adına bir internet sitesi açılacak olası durumunda bir Çerez Politikası ve çerez yönetim araçları belirlenecek ve uygulamaya konulabilecektir.
  5. Özel Nitelikli Veri İşleme Politikası : Sendikanın işlemekte olduğu özel nitelikli kişisel verilerin hangi koşullarda ve yöntemlerle işleneceğini düzenleyen kontrol aracıdır. Sendika çalışan adaylarının özel nitelikli verilerini işe giriş süreçlerinde, çalışanların özel nitelikli verilerini özellikle özlük dosyası ile ilgili işlemler ve sağlık işlemleri bağlamında ve ziyaretçilerin özel nitelikli verilerini salgın ve hastalık kontrolü bağlamında işlemektedir. Bu veya başka gerçek kişilerin özel nitelikli verilerinin işlenmesini gerektiren süreçlerin ortaya çıkması durumunda, veri işlemenin niteliğine, kimler tarafından yürütüleceğine ilişkin Komitenin bu politikaya uygun olarak alacağı kararlar uygulanır.
  6. Bilgi Güvenliği Politikası : Sendikanın özellikle elektronik ortamlarda işlemekte olduğu kişisel verilerin işlenmesine ilişkin uygulama kuraları bu politika belgesinde düzenlenmiştir. Sendika ve birimler tarafından kişisel veri işlenmesi sonucunu doğuracak yeni bir mecra, araç veya uygulama kullanılacağı zaman bu politika belgesinde güncelleme yapılması ve kullanım şartlarının belirlenmesi zorunludur.
  7. Temiz Masa Temiz Ekran Politikası: Kuruluşa ait ofis ortamlarında kişisel veriye dokunan çalışanlar tarafından yürütülecek kişisel verilere ilişkin işlemlerde dikkat edilmesi gereken hususlar ve uyulması gereken kuraları içeren kontrol aracıdır.
  8. Kişisel Verilere İlişkin Acil Durumlar Yönergesi: 6698 sayılı Kanunun tanımladığı Sendikanın işlediği kişisel verilerin maruz kalabileceği veri ihlallerinin en geç 72 saat içinde Kurul’a bildirilmesi gibi yükümlülüklerin nasıl ve kimler tarafından yerine getirileceğini düzenleyen temel kontrol aracıdır.
  9. Kişisel Veri Saklama, Silme, İmha ve Aktarma Politikası: Sendikanın işlediği kişisel verilerin veri envanterinde de belirlendiği gibi ne kadar süre saklanacağı, süre sonunda nasıl silineceği veya imha edileceği ile ortak veri sorumluları, bağımsız veri sorumluları veya veri işleyenlerle hangi şartlarda ve güvenlik önlemleri altında paylaşılacağını düzenleyen temel kontrol aracıdır.
  10. KVK Komitesinin Görev ve Sorumlulukları Yönergesi: Sendika bünyesinde kişisel veri süreçlerinin yönetilmesi, izlenmesi ve gerektiğinde denetlenmesi için kurulan Komite’nin görev sorumluluklarının tanımlandığı temel kontrol aracıdır.
  11. Veri Sahibi Başvuruları Yönergesi: Sendikanın kişisel verilerini işlemekte olduğu ilgili kişilerin Kanun kapsamında yapacağı başvuruların cevaplanması ve yönetilmesine ilişkin kuralları belirleyen temel kontrol aracıdır.
  12. Kişisel Veri Envanteri Rehberi: Kişisel Veri Envanterinin nasıl işleneceğine ilişkin bilgiler içeren Kurum tarafından yayınlanmış olan bir kontrol aracıdır.
  13. Verbis Rehberi: Kurum tarafından yayınlanmış olan VERBİS kayıtlarının yapılmasına ilişkin bilgiler içeren bir kontrol aracıdır.

10. KİŞİSEL VERİLERİN AKTARILMASI

ÖZ FİNANS-İŞ üretime dönük ve ticari faaliyetlerini yürütebilmek, kurum olarak ihtiyaç duyduğu uzmanlık gerektiren faaliyetlerin yürütülmesini sağlamak amaçlarıyla yurt içindeki ve yurt dışındaki hizmet ve ürün tedarikçilerinden yararlanır ve görev tanımları, faaliyetleri ve sağladıkları hizmetin niteliğine göre “veri işleyen”, “veri sorumlusu” veya “ortak veri sorumlusu” sayılan bu tedarikçiler, iş ortakları veya yetkili kurum ve kuruluşlara kişisel verileri aktarabilir.

10.1. Kişisel Veri Aktarımında Gözetilecek Hususlar

  1. Merkez ve şube çalışanları ile işyeri temsilcilerinin, kişisel veri paylaşımı sırasında veri aktarılan tarafın kişisel verileri güvenli şekilde işlemesi ilgili taraf ile imzalanacak veri aktarım sözleşmesi veya taahhütnameler yoluyla güvence altına almaları zorunludur.
  2. Sendika birimleri ve çalışanları iş hayatının dinamik ve değişken yapısını göz önüne alarak, kişisel verilerin aktarılması gereken her yeni tedarikçi veya taraf ile kişisel verileri koruma altına alan bir sözleşme ve taahhütnamelerin imzalandığından emin olmalıdır. Her bir birim, şube ve çalışan kişisel veri aktarımı yapılan muhatabın kişisel verilerle ilgili oluşturabileceği riskleri önceden gözetmeli ve risk yaratacak durumların oluşmaması için özen göstermelidir.
  3. Üyelerimize indirim gibi imkanlar sunmak üzere kurumsal anlaşma yapılan firma ve kuruluşlara, merkezin onayı ve imzalayacağı bir veri aktarım sözleşmesi bulunmadan üyelerimizin kişisel verileri aktarılamaz.
  4. Taraflar ve tedarikçilere yapılacak veri aktarımları esnasında veri güvenliğinin uygun ve güvenli araç ve kanallarla yapılması, kişisel verilerin aktarıldığı gerçek kişilerin muhatap tarafından yetkilendirilmiş olup olmadığının takip edilmesi, kişisel verilerin aktarım amacıyla oluşturulan nüsha ve kopyaları varsa bunların işlevleri sona erer ermez tüm mecralardan silinmesine dikkat edilmesi zorunludur.
  5. Sendika birimleri, şubeleri ve çalışanları veri aktardıkları taraf ve tedarikçilerin kişisel veriler konusundaki hassasiyetlerini ve uygulamalarını gözetmek, risk oluşturabilecek durumları üstlerine zamanında bildirmekle yükümlüdürler. Sendika çalışanları kişisel veriler konusunda çözümleyemedikleri durum ve sorunlar konusunda zamanında üstlerinden gerekli desteği istemelidirler.

10.2. Kişisel Verilerin Aktarıldığı Durumlar ve Aktarım Yapılan Taraflar

Kişisel veriler aşağıda belirtilen amaçlarla, yine aşağıda belirtilen taraflarla paylaşılmaktadır:

  1. Sendika tarafından yürütülen faaliyetlerin planlanması ve yerine getirilmesi için gerekli olan hallerde yurt içi ve yurt dışındaki çözüm ortakları, danışman firmalar, diğer hizmet tedarikçiler ve uluslararası kuruluşlar gibi özel ve resmi kurum ve kuruluşlarla,
  2. İş sürekliliğinin sağlanması, hukuki, teknik ve ticari iş güvenliğinin temini, insan kaynakları, iş sağlığı ve güvenliği ile acil durum süreç ve stratejilerinin planlanması ile icra edilmesi için bu alanlarda hizmet veren gerçek ve tüzel kişilerle ve onların birlikte çalıştığı üçüncü taraflarla; 
  3. Sendikanın tedarik ettiği hizmetler çerçevesinde sözleşme imzaladığı kişiler ve onların birlikte çalıştığı üçüncü kişilerle, 
  4. Sendika üyelerine indirim ve benzeri faydalar sunmayı vaat eden ve kurumsal anlaşma imzalanan kurum ve kuruluşlarla,
  5. İşe alım, işten çıkış sürecinde Sendika içi birimlere, önceki veya sonraki işverenlerle,
  6. Sendikanın yasal yükümlülüklerini yerine getirmesi için gerekli olan hallerde çözüm ortaklarımız, danışman firmalarımız, tedarikçilerimiz, özel kurum ve kuruluşlar ile mahkemeler, kamu kurum ve kuruluşları ve yetkili mercilerle,
  7. Sendika tarafından yapılan sözleşmelerin kurulması ve ifası kapsamında gerekli ödeme ve tahsilat işlemleri için ilgili bankalarla, 
  8. Çalışanların sigorta ve benzeri haklardan yararlanabilmeleri için sigorta acenteleri ve sigorta şirketleriyle
  9. Sendikamızın haklarının tesisi, kullanılması ve korunması kapsamında hukuki ve mali destek almak amacıyla hukuk, muhasebe/YMM büroları, avukatlar ve diğer danışmanlara,
  10. Anlık ileti, dosya lpaylaşımı, video konferans, elektronik posta vb. çevrimiçi iletişim kanalları ve araçlarını kullanabilmek için hizmet tedarik ettiğimiz yurt dışı menşeliplatform ve uygulamalara,
  11. Elektronik imza temini ve yetkilendirilmesi işlemleri için hizmet sağladığımız tedarikçiye,
  12. Çalışanların ve üyelerin birliktelik duygularının sağlanması, motivasyonlarının artırılması, ekip ruhunun güçlendirilmesi amaçlarıyla özel günlerinde destek mesajları atılabilmesi, toplu geziler ve etkinlikler düzenlenmesi, başarı çalışanların ödüllendirilmesi için bu alanlarda hizmet sağlayan tedarikçi kuruluşlarla,

10.3. Kişisel Verilerin Yurt Dışına Aktarılması

Üyelerimizle etkili iletişim ve dayanışma için ve faaliyetlerimizi yürütebilmek amacıyla toplantı ve etkinlikler düzenleyebilmek için yurt dışı menşeli uygulamalar kullanmaktayız. Bu kapsamda,

  • Video konferanslar için kullandığımız ABD menşeli Zoom,
  • Anlık mesajlaşma için kullandığımız ABD menşeli Facebook’a ait Whatsapp
  • Tanıtım ve bilgilendirme amacıyla kullandığımız ABD menşeli Facebook, ABD menşeli Twitter ve ABD menşeli Facebook’la

kimlik, görsel ve işitsel kayıtlar gibi genel ve sendika üyeliği gibi özel nitelikli verilerinizi paylaşıyoruz.

Bu araç ve kanallar üzerinden paylaşılan kişisel verileriniz hizmeti sunan firmaların yurt dışındaki sunucu ve sistemleri üzerinde işlenmektedir. Bu hizmetleri veren ve birer veri işleyen statüsündeki tedarikçilerin kişisel verilerinizin korunması konusunda aldığı güvenlik önlemlerine dair bilgi almak için ilgili şirketlerin Gizlilik Politikalarına göz atabilirsiniz. Metinler İngilizce olduğundan söz konusu metinleri Google Translate üzerinden Türkçe’ye çevirerek inceleyebilirsiniz.

11. DENETİM, BAŞVURULAR VE VERİ İHLAL BİLDİRİMLERİ

Sendika kişisel verilerin korunması konusunda gerekli iç ve dış denetimleri yapar/yaptırır.

İlgili kişilerin yaptığı başvurular en geç 30 gün içerisinde, Komite tarafından ilgili birimin de görüşü alınarak cevaplanır.

Sendika kişisel verilerle ilgili herhangi bir ihlal olduğu kendisine bildirildiğinde, bu durumun öğrenildiği tarihten itibaren gecikmeksizin ve en geç 72 saat içinde KVK Kuruluna bildirimde bulunur. İlgili tarafları ve kişileri de aynı şekilde bilgilendirir.

12. GÜNCELLEME

İş bu politika belgesi, Sendikanın kişisel veri işleme şartları, araçları, amaçları ile kapsamı değiştiğinde ve kişisel verilerin paylaşıldığı tarafların değişmesi durumlarında güncellenir. Her bir maddede yapılan güncellemeler ayrı bir tabloda tutulur.