1

KİŞİSEL VERİLERİ KORUMA POLİTİKASI

İş Merkezleri Yönetim ve İşletim A.Ş. (“İŞMER”) olarak sadece gerçek kişilere ait herhangi

bir şekilde edindiğimiz her türlü kişisel verinin korunmasını ve bu çerçevede 6698 sayılı Kişisel

Verilerin Korunması Kanunu (“Kanun”) ve ilgili mevzuat kapsamındaki gerekliliklerin eksiksiz

olarak yerine getirilmesini kurum politikalarımızdan biri olarak benimsemiş bulunuyoruz. İşbu

Kişisel Verileri Koruma Politikası (“KVK Politikası” veya sadece “Politika”), İŞMER

tarafından herhangi bir şekilde toplanan kişisel verilerin kaydedilmesi, kullanılması,

paylaşılması, saklanması, silinmesi ve imhası süreçleri ile bunlara ilişkin prensipler hakkında

İŞMER çalışanlarını, çalışan adaylarını, mevcut ve muhtemel müşterilerimizi, grup şirketi

çalışan veya müşterilerini, www.ismer.com.tr sitemizi kullananları, ziyaretçilerimizi ve

İŞMER ile ilişki içinde bulunan diğer gerçek kişileri bilgilendirmek amacıyla hazırlanmış ve

ilan edilmiştir.

İŞMER, yürürlükteki ilgili mevzuat hükümleri gereğince bilginin gizliliğinin ve bütünlüğünün

korunması amacıyla gerekli organizasyonu kurmak ve teknik önlemleri almak ve uyarlamak

konusunda veri sorumlusu sıfatıyla sorumluluğu üstlenmiştir.

İŞMER, kişisel verilere yetkisiz erişimi engellemek veya bu bilgilerin kaybı, hatalı kullanımı,

ifşa edilmesi, değiştirilmesi veya imha edilmesine karşı kişisel verileri korumak için gerekli

önlemleri almaktadır.

İŞMER, herhangi bir ihlali fark ettiği anda kullanıcıları bu konuda vakit kaybetmeksizin

bilgilendirir, yasalara uygun bir şekilde takibinin yapılmasına olanak tanır ve bilgilerinin

güvenliğini elinden gelen en iyi şekilde sağlar.

1. Kişisel Veri Tanımı

İşbu KVK Politikası'nda kullanılan "Kişisel Bilgiler" terimi, bir gerçek kişinin sadece kimliğini

ortaya koyan, adı, soyadı, doğum tarihi ve doğum yeri gibi bilgiler olabileceği gibi; telefon

numarası, motorlu taşıt plakası, TC kimlik numarası, pasaport numarası, özgeçmiş, resim,

görüntü ve ses kayıtları, parmak izleri, e-posta adresi, hobiler, tercihler, etkileşimde bulunulan

kişiler, grup üyelikleri, aile bilgileri, sağlık bilgileri gibi kişiyi doğrudan veya dolaylı olarak

belirlenebilir kılan tüm verileri de olabilir. Ayrıca Kanunun 6. maddesi gereğince özel nitelikli

kişisel veriler; “Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya

diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza

mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri”dir.

2. Kişisel Verilerin Toplanmasının Yasal Dayanağı

Kullanıcıların kişisel verilerinin kullanılması konusunda çeşitli kanunlarda düzenlemeler

bulunmaktadır. En başta Anayasa’nın 20. maddesi, 5651 sayılı “İnternet Ortamında Yapılan

Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi

Hakkında Kanun”, 6331 sayılı “İş Sağlığı ve Güvenliği Kanunu”, 6698 sayılı Kişisel Verilerin

Korunması Kanunu ve diğer kanunlar ile bağlı mevzuatta kişisel verilerin korunması esasları

belirlenmiştir.

2

3. Kişisel Verilerin Toplanma Yöntemleri

İŞMER kişisel verileri, bina ziyaretçilerinin ziyareti sırasında kendisinden, çalışanların veya

adayların işe giriş başvuru ve kabul sürecinde sağladığı belge ve bilgilerden, çalışanların özlük

dosyaları için temin ettikleri belge ve bilgilerden, sigorta evraklarından, tedarikçiler ve iş

ortaklarıyla yapılan sözleşmelerden, www.ismer.com.tr internet sitesinden, yardım

masasından, bağlı bulunduğu grup şirketlerinden, kamu kurum ve kuruluşlarıyla ve yargı

yerlerinden ve diğer meşru, yasal yollarla ve Kanuna uygun olarak toplamaktadır.

4. Kişisel Verilerin İşlenmesine İlişkin Temel Kurallar

İŞMER kişisel verileri Kanun çerçevesinde ve aşağıda belirtilmiş olan temel kurallara uygun

olarak işlemektedir.

a. Hukuka ve dürüstlük kurallarına uygun olması,

b. Doğru ve güncel olması,

c. Şeffaflık ve aydınlatma yükümlülüğünün yerine getirilmesi,

d. Veri azaltılması ve veri ekonomisinin sağlanması,

e. Belirli, açık ve meşru amaçlar için işlenmesi,

f. İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması,

g. İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza

edilmesi.

5. Kişisel Verilerin İşlenme Amaçları

Kişisel Bilgiler, Politika’nın parçası olan ve www.ismer.com.tr internet sitemizde ilan edilmiş

diğer metinlerde ve aşağıda yazılı amaçlar için kullanılacaktır, hiçbir durumda öngörülen

amacın dışında kullanılmayacaktır.

İŞMER, faaliyetleri çerçevesinde işlemekte olduğu kişisel verileri aşağıdaki amaçlar

doğrultusunda saklar.

1. Acil Durum Yönetimi Süreçlerinin Yürütülmesi

2. Bilgi Güvenliği Süreçlerinin Yürütülmesi

3. Çalışan Adayları ve Stajyer Başvuru Süreçlerinin Yürütülmesi

4. Çalışan Memnuniyeti ve Bağlılığı Süreçlerinin Yürütülmesi

5. Çalışanlar İçin İş Akdi ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi

6. Çalışanlar İçin Yan Haklar ve Menfaatleri Süreçlerinin Yürütülmesi

7. Denetim / Etik Faaliyetlerinin Yürütülmesi

8. Eğitim Faaliyetlerinin Yürütülmesi

9. Erişim Yetkilerinin Yürütülmesi

10. Faaliyetlerin Mevzuata Uygun Yürütülmesi

11. Finans ve Muhasebe İşlerinin Yürütülmesi

12. Firma / Ürün / Hizmetlere Bağlılık Süreçlerinin Yürütülmesi

13. Fiziksel Mekan Güvenliğinin Temini

14. Görevlendirme Süreçlerinin Yürütülmesi

15. Hukuk İşlerinin Takibi ve Yürütülmesi

16. İç Denetim/ Soruşturma / İstihbarat Faaliyetlerinin Yürütülmesi

17. İletişim Faaliyetlerinin Yürütülmesi

3

18. İnsan Kaynakları Süreçlerinin Planlanması

19. İş Faaliyetlerinin Yürütülmesi / Denetimi

20. İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi

21. İş Süreçlerinin İyileştirilmesine Yönelik Önerilerin Alınması ve Değerlendirilmesi

22. İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi

23. Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi

24. Mal / Hizmet Satış Sonrası Destek Hizmetlerinin Yürütülmesi

25. Mal / Hizmet Satış Süreçlerinin Yürütülmesi

26. Mal / Hizmet Üretim ve Operasyon Süreçlerinin Yürütülmesi

27. Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi

28. Müşteri Memnuniyetine Yönelik Aktivitelerin Yürütülmesi

29. Organizasyon ve Etkinlik Yönetimi

30. Performans Değerlendirme Süreçlerinin Yürütülmesi

31. Sözleşme Süreçlerinin Yürütülmesi

32. Talep / Şikayetlerin Takibi

33. Taşınır Mal ve Kaynakların Güvenliğinin Temini

34. Ücret Politikasının Yürütülmesi

35. Ürün / Hizmetlerin Pazarlama Süreçlerinin Yürütülmesi

36. Veri Sorumlusu Operasyonlarının Güvenliğinin Temini

37. Yetkili Kişi, Kurum ve Kuruluşlara Bilgi Verilmesi

38. Yönetim Faaliyetlerinin Yürütülmesi

39. Ziyaretçi Kayıtlarının Oluşturulması ve Takibi

40. Şirketimizin tabi olduğu Kanunlara Uyum Sağlanabilmesi

6. Kişisel Verilerin İşlenme Şartları

Kişisel veriler, ilgili kişinin açık rızasının bulunduğu durumda işlenebilir. Açık rıza olmayan

hallerde kişisel veriler ancak aşağıdaki şartların varlığı halinde işlenebilir:

a. Kanunlarda açıkça öngörülmesi,

b. Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına

hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden

bütünlüğünün korunması için zorunlu olması,

c. Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla

sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,

d. Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,

e. Kişisel verinin ilgili kişinin kendisi tarafından alenileştirilmiş olması,

f. Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,

g. İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun

meşru menfaatleri için veri işlenmesinin zorunlu olması.

İŞMER, özel nitelikli verileri ilgili kişinin açık rızası olmadan işlememektedir. Ancak, sağlık

ve cinsel hayat ile ilgili veriler dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen

hallerde veri sahibinin açık rızası olmaksızın da işlenebilmektedir. Bununla beraber, sağlık ve

cinsel hayata ilişkin veriler ise yeterli önlemlerin alınması şartıyla ve aşağıda sayılan sebeplerin

varlığı halinde açık rızası alınmaksızın işlenebilmektedir:

a. Kamu sağlığının korunması,

4

b. Koruyucu hekimlik,

c. Tıbbî teşhis,

d. İşyeri hekimliği kapsamında tedavi ve bakım hizmetlerinin yürütülmesi,

e. Sağlık hizmetleri ile finansmanının planlanması ve yönetimi.

7. Kişisel Verilerin Saklanma Süreleri

İŞMER kişisel verileri gerek faaliyet konusunun gerçekleştirilmesi gerek hukuki süreçlerin

gereği ve gerekse de resmi kurum, kuruluş ve yargı yerlerinin muhtemel talepleri nedeniyle,

fiziki evrak ve/veya dijital ortamda, ancak gerekli olduğu kadar ve güvenli ortamda

saklamaktadır. İŞMER, bir kişisel verinin kanun ve mevzuat gereği daha uzun süre

saklanmasını gerektiren haller dışında ya o kişisel verinin işlenme amacı sona erdiği veya

-kanun ve mevzuata aykırı olmamak kaydıyla- kişisel veri sahibinin talebi üzerine, söz konusu

veriyi silecek, imha edecek veya anonimleştirilecektir. Bu şekilde silinen veriler artık herhangi

bir şekilde kullanılamayacaktır.

İŞMER, kanunlar ve ilgili mevzuat daha uzun bir süre öngörmediği sürece kişisel verileri

aşağıda yazılı süreler kadar saklar:

SÜREÇ SAKLAMA SÜRESİ İMHA SÜRESİ

Sözleşmelerin

hazırlanması

Sözleşmenin sona ermesini

takiben 10 yıl

Saklama süresinin bitimini takip

eden ilk periyodik imha süresinde

İletişim Faaliyetlerinin

İcrası

Faaliyetin sona ermesini

takiben 10 yıl

Saklama süresinin bitimini takip

eden ilk periyodik imha süresinde

İnsan Kaynakları

Süreçlerinin Yürütülmesi

Faaliyetin sona ermesini

takiben 10 yıl

Saklama süresinin bitimini takip

eden ilk periyodik imha süresinde

Log Kayıt Takip

Sistemleri 10 yıl

Saklama süresinin bitimini takip

eden ilk periyodik imha süresinde

Donanım ve Yazılıma

Erişim Süreçlerinin

Yürütülmesi

Sisteme giriş tarihinden

itibaren 2 yıl

Saklama süresinin bitimini takip

eden ilk periyodik imha süresinde

Ziyaretçi ve Toplantı

Katılımcılarının Kaydı

Etkinliğin sona ermesini

takiben 2 Yıl

Saklama süresinin bitimini takip

eden ilk periyodik imha süresinde

Kamera Kayıtları 2 Yıl Saklama süresinin bitimini takip

eden ilk periyodik imha süresinde

Müşteri İşlem Faaliyetleri Faaliyetin sona ermesini

takiben 10 yıl

Saklama süresinin bitimini takip

eden ilk periyodik imha süresinde

Hukuki İşlem Muhaberattan çıkış tarihinden

itibaren 2 yıl

Saklama süresinin bitimini takip

eden ilk periyodik imha süresinde

Finans Ticari ilişkinin/Faaliyetin

sonlanmasından itibaren 10 yıl

Saklama süresinin bitimini takip

eden ilk periyodik imha süresinde

5

8. Kişisel Verilerin Güvenliğinin Sağlanması İçin Alınan Teknik ve İdari Tedbirler

İŞMER, kişisel verilerin hukuka uygun işlenmesi, kişisel verilere sadece yetkili kişilerin

erişiminin mümkün olması, kişisel verilerin güvenli şekilde saklanması için gerekli tüm teknik

ve idari önlemleri almıştır. İŞMER bu hususta, güvenlik seviyesini ihtiyaçlara göre

güncellemektedir. İŞMER bu teknik ve idari tedbirler kapsamında aşağıdaki önlemleri

almaktadır:

8.1. Teknik Tedbirler

Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.

Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır.

Anahtar yönetimi uygulanmaktadır.

Bilgi teknolojileri sistemleri tedarik, gelistirme ve bakımı kapsamındaki güvenlik

önlemleri alınmaktadır.

Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar

hazırlanmış ve uygulamaya başlanmıştır.

Gerektiğinde veri maskeleme önlemi uygulanmaktadır.

Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri

kaldırılmaktadır.

Güncel anti-virüs sistemleri kullanılmaktadır.

Güvenlik duvarları kullanılmaktadır.

Kağıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili

evrak gizlilik dereceli belge formatında gönderilmektedir.

Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri

alınmaktadır.

Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği

sağlanmaktadır.

Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de

sağlanmaktadır.

Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de

yapılmaktadır.

Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır.

Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.

Mevcut risk ve tehditler belirlenmiştir.

Saldırı tespit ve önleme sistemleri kullanılmaktadır.

Sızma testi uygulanmaktadır.

Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir.

Şifreleme yapılmaktadır.

Veri kaybı önleme yazılımları kullanılmaktadır.

8.2. İdari Tedbirler

Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.

Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık

çalışmaları yapılmaktadır.

Çalışanlar için yetki matrisi oluşturulmuştur.

Gizlilik taahhütnameleri yapılmaktadır.

İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.

Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.

6

Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.

Kişisel veri güvenliğinin takibi yapılmaktadır.

Kişisel veriler mümkün olduğunca azaltılmaktadır.

Kişisel veri işlemeye başlamadan önce ilgili kişileri aydınlatma yükümlülüğü yerine

getirilmektedir.

Kişisel veri işleme envanteri hazırlanmıştır.

8.3. Kişisel Verilerin Korunması Konusunda Alınan Tedbirlerin Denetimi

İŞMER, Kanunun 12. maddesine uygun olarak, kendi bünyesinde gerekli denetimleri

yapmakta veya yaptırmaktadır. Bu denetim sonuçları İŞMER’in iç işleyişi kapsamında konu

ile ilgili bölüme raporlanmakta ve alınan tedbirlerin iyileştirilmesi için gerekli faaliyetler

yürütülmektedir.

8.3.1. Kişisel Verilerin Yetkisiz Bir Şekilde İfşası Durumunda Alınacak Tedbirler

İŞMER, Kanunun 12. maddesine uygun olarak işlenen kişisel verilerin kanuni olmayan yollarla

başkaları tarafından elde edilmesi halinde bu durumu en kısa sürede ilgili kişisel veri sahibine

ve Kurul’a bildirilmesini sağlayan sistemi yürütmektedir. Kurul tarafından gerek görülmesi

halinde, bu durum, Kurul’un internet sitesinde veya başka bir yöntemle ilan edilebilecektir.

8.3.2. Kişisel Veri Sahiplerinin Yasal Haklarının Gözetilmesi

İŞMER, kişisel veri sahiplerinin KVK Politikası ve Kanunun uygulanması ile tüm yasal

haklarını gözetir ve bu haklarının korunması için gerekli tüm önlemleri alır. Kişisel veri

sahiplerinin hakları ile ilgili ayrıntılı bilgiye işbu Politika’da yer verilmiştir.

8.4. Özel Nitelikli Kişisel Verilerin Korunması

Kanun birtakım kişisel verilere, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine

ve/veya ayrımcılığa sebep olma riski nedeniyle özel önem atfetmiştir. Bu veriler; ırk, etnik

köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek,

vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle

ilgili veriler ile biyometrik ve genetik verilerdir. Kanun ile “özel nitelikli” olarak belirlenen ve

hukuka uygun olarak işlenen özel nitelikli kişisel verilerin korunmasına İŞMER tarafından

azami hassasiyet gösterilmektedir. Bu kapsamda, İŞMER tarafından, kişisel verilerin

korunması için alınan teknik ve idari tedbirler, özel nitelikli kişisel veriler bakımından da azami

özenle uygulanmakta ve bu konuda İŞMER bünyesinde gerekli denetimler sağlanmaktadır.

9. Kişisel Bilgilerinin Paylaşımı

İŞMER olarak herhangi bir şekilde temin edilen Kişisel Bilgiler, verilen hizmetin amacına

yönelik olup, ilke olarak üçüncü kişilerle hiçbir suretle paylaşılmaz. Bununla birlikte kişisel

veriler aşağıda belirtilen kişi ve kurumlara belirli amaçlarla aktarabilecektir;

a. İŞMER iştiraklerine,

b. İŞMER’in denetimini yapan kişi ve kurumlara,

c. İlgili mevzuat hükümlerine göre İŞMER’in ticari faaliyetlerine ilişkin stratejilerin

tasarlanması ve denetim amaçlarıyla sınırlı olarak Türkiye İş Bankası A.Ş.’ye,

7

d. Kanuna uygun olarak talep ettiği amaçla sınırlı olarak Kamu kurum, kuruluşları ile yargı

yerlerine,

e. Hizmet kalitemizin artırılması ve/veya kişisel veri güvenliği amacına hizmet etmek

üzere danışman firmalara (örn. Sızma testi).

10. Kişisel Veri Sahibinin Hakları, Hakların Kullanılması ve Değerlendirilmesi

10.1 Kişisel Veri Sahibinin Aydınlatılması

İŞMER, Kanunun 10. maddesine uygun olarak, kişisel verilerin elde edilmesi sırasında kişisel

veri sahiplerini aydınlatmaktadır. Bu kapsamda varsa, İŞMER temsilcisinin kimliği, kişisel

verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla

aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile kişisel veri sahibinin sahip

olduğu hakları konusunda aydınlatma yapmaktadır.

10.2 Kişisel Verilerin Korunması Kanunu uyarınca kullanıcıların hakları

Kişisel veri sahibi, Kanun uyarınca kişisel verilerinin;

a. işlenip işlenmediğini öğrenme,

b. işlenmişse bilgi talep etme,

c. işlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme,

d. yurt içinde/yurt dışında aktarıldığı 3. kişileri bilme,

e. eksik/yanlış işlenmişse düzeltilmesini isteme,

f. Kanunun 7. maddesinde öngörülen şartlar çerçevesinde silinmesini/yok edilmesini

isteme,

g. aktarıldığı 3. kişilere yukarıda sayılan (d) ve (e) bentleri uyarınca yapılan işlemlerin

bildirilmesini isteme,

h. münhasıran otomatik sistemler ile analiz edilmesi nedeniyle aleyhine bir sonucun

ortaya çıkmasına itiraz etme,

i. Kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini

talep etme haklarına sahiptir.

10.3 Kişisel Veri Sahibinin Haklarını İleri Süremeyeceği Haller

Kanunun 28. maddesi gereğince aşağıdaki haller Kanun kapsamı dışında tutulduğundan, kişisel

veri sahipleri aşağıdaki hallerde, işbu Politika’nın 10/2. maddesinde sayılan haklarını ileri

süremezler:

a. Kişisel verilerin, 3. kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere

uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta

yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi;

b. Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama

ve istatistik gibi amaçlarla işlenmesi;

c. Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini,

ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da

suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade

özgürlüğü kapsamında işlenmesi;

d. Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini

veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş

8

kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari

faaliyetler kapsamında işlenmesi;

e. Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin

olarak yargı makamları veya infaz mercileri tarafından işlenmesi.

Kanunun 28/2. maddesi gereğince; aşağıda sıralanan hallerde Kişisel Veri Sahipleri zararın

giderilmesini talep etme hakkı hariç, işbu Politika’nın 10/2. maddesinde sayılan haklarını ileri

süremezler:

a. Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli

olması.

b. Kişisel veri sahibi tarafından kendisi tarafından alenileştirilmiş kişisel verilerin

işlenmesi.

c. Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu

kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme

veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için

gerekli olması.

d. Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak devletin ekonomik ve

mali çıkarlarının korunması için gerekli olması.

10.4 Kişisel Veri Sahibinin Haklarını Kullanması

Kişisel Veri Sahipleri işbu Politika’nın 10/2. maddesinde sayılan haklarına ilişkin taleplerini

kimliklerini tespit edecek bilgi ve belgelerle ve aşağıda belirtilen yöntemlerle veya Kurul’un

belirlediği diğer yöntemlerle www.ismer.com adresinden ulaşabilecekleri Başvuru Formunu

doldurup imzalayarak İŞMER’e ücretsiz olarak iletebileceklerdir:

(i) Başvuru Formu doldurulduktan sonra ıslak imzalı bir nüshasının bizzat elden veya noter

aracılığı ile Levent Mah. Meltem Sk. No:14/1 Pk:34330 Beşiktaş, İstanbul/Türkiye

adresine iletilmesi,

(ii) Başvuru Formu doldurulup 5070 Sayılı Elektronik İmza Kanunu kapsamındaki “güvenli

elektronik imza” ile imzalandıktan sonra güvenli elektronik imzalı formun

kvkk@ismer.com.tr adresine kayıtlı elektronik posta ile gönderilmesi,

(iii) Başvuru sahibinin bizzat gelerek kimliğini tevsik edici belge ve başvuru konusuna

ilişkin bilgi ve belgeler ile başvurarak İŞMER’e daha önce bildirilen ve İŞMER’in

sisteminde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle Başvuru

Formunu iletmesi.

Kişisel veri sahipleri adına üçüncü kişilerin başvuru talebinde bulunabilmesi için veri sahibi

tarafından başvuruda bulunacak kişi adına noter kanalıyla düzenlenmiş özel vekâletname

bulunmalıdır.

10.5 İŞMER’in Başvurulara Cevap Verme Usulü ve Süresi

İŞMER, başvuruda yer alan talepleri, talebin niteliğine göre en geç otuz gün içinde olmak üzere

en kısa sürede ücretsiz olarak sonuçlandırır. Ancak söz konusu işlemin ayrıca bir maliyeti

gerektirmesi hâlinde, KVK Kurulu tarafından belirlenen tarifedeki ücret alınabilir. İŞMER,

talebi kabul edebileceği gibi gerekçesini açıklayarak reddedebilir; cevabını yazılı olarak veya

elektronik ortamda bildirir. Başvuruda yer alan talebin kabul edilmesi hâlinde İŞMER, talebin

gereğini yerine getirir.

9

10.6 Kişisel Veri Sahibinin Kurul’a Şikâyette Bulunma Hakkı

Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap

verilmemesi hâllerinde; veri sahibi, cevabı öğrendiği tarihten itibaren otuz ve her hâlde başvuru

tarihinden itibaren altmış gün içinde Kurul’a şikâyette bulunma hakkına sahiptir.

11. Kişisel Verilerin Kaydedilmesine ilişkin Rıza

İŞMER’e açık rıza verilen veya www.ismer.com.tr adlı internet sitesinin kullanıldığı andan

itibaren toplanan tüm bilgilerin, yukarıda belirtilen şekilde ve nedenlerle, bu KVK Politikasında

anlatıldığı gibi, kullanılması kabul edilmiş olunur.

12. İŞMER’in KVK Politikası Uyarınca Yönetim Yapısı

İŞMER bünyesinde işbu Politika ve bu Politikaya bağlı ve ilişkili diğer politikaları yönetmek

üzere İŞMER üst yönetiminin kararı gereğince Kişisel Veri Komitesini oluşturmuştur. Kişisel

Veri Komitesi, Kişisel Veri Sahiplerinin verilerinin hukuka, işbu Politika ve bu Politikaya bağlı

ve ilişkili diğer politikalara uygun olarak saklanması ve işlenmesi için gerekli işlemleri

yapmakla yetkili ve görevlidir. Kişisel Veri Komitesinde görevlendirilenler ve görevlerine dair

İŞMER internet sitesinde yayımlanan Kişisel Veri Saklama ve İmha Politikasında detaylı

düzenlemeler yer almaktadır.

13. Politika’nın güncellenmesi

Politika ve kişisel bilgileri işleme şekli muhtelif zamanlarda gözden geçirebilir, tadil edebilir

veya yenilenebilir. Güncellenmiş Politika www.ismer.com.tr adresinde bulunan

internet sitesinden yayımlanır. Yenilenen şartlar, yayımlandıkları tarihten itibaren yürürlüğe

girer.

14. İletişim bilgileri

KVK Politikası veya diğer veri koruma uygulamalarımıza ilişkin sorular için İŞMER’e

aşağıdaki adresten ulaşılabilir:

E-posta: kvkk@ismer.com.tr

İletişim adresi: Levent Mah. Meltem Sk. No:14/1 Pk:34330 Beşiktaş, İstanbul/Türkiye

Telefon numarası: 0212 316 4999

İş Merkezleri Yönetim ve İşletim A.Ş.

Son Güncelleme Tarihi: 04.12.2019

10

Ek-1: Kişisel Veri Kategorileri

Veri Kategorisi İlgili Kişisel Veri Kategorisi İçerisine Giren Kişisel Veri Tipleri

Kimlik Ad soyad, anne-baba adı, anne kızlık soyadı, doğum tarihi, doğum

yeri, medeni hali, nüfus cüzdan seri sıra no, TC kimlik no gibi.

İletişim E-posta adresi, telefon numarası, cep telefonu numarası, iletişim

adresi, kayıtlı elektronik posta adresi (KEP) gibi.

Lokasyon Bulunduğu yerin konum bilgisi

Özlük

Bordro bilgileri, disiplin soruşturması, işe giriş-çıkış belgeleri, mal

bildirimi bilgileri, özgeçmiş bilgileri, performans değerlendirme

belgeleri gibi.

Hukuki İşlem Adli makamlarla yazışmalar, dava dosyasındaki bilgiler gibi.

Müşteri İşlem Çağrı merkezi kayıtları, fatura, senet, çek bilgileri, talep ve

talimatlar, sipariş bilgileri gibi.

Fiziksel Mekan

Güvenlik Bilgisi Giriş çıkış logları, ziyaret bilgileri, kamera kayıtları gibi.

İşlem Güvenliği IP adres bilgileri, internet sitesi giriş çıkış bilgileri, şifre ve parola

bilgileri gibi.

Risk Yönetimi Ticari, teknik, idari riskleri yönetilmesi için işlenen bilgiler gibi.

Finans Bilanço bilgileri, finansal performans bilgileri, kredi ve risk

bilgileri, malvarlığı bilgileri gibi.

Pazarlama Bilgisi Alışveriş geçmişi bilgileri, anket, çerez kayıtları, kampanya

çalışmasıyla elde edilen bilgiler

Görsel ve İşitsel Kayıtlar Fotoğraflar, kamera kayıtları ve ses kayıtları

Mesleki Deneyim Diploma bilgileri, gidilen kurslar, meslek içi eğitim bilgileri,

sertifikalar, transkript bilgileri gibi.

Özel Nitelikte Veri

Irk ve etnik kökeni, siyasi düşünce bilgileri, siyasi parti üyeliği

bilgisi, felsefi, inanç, din, mezhep ve diğer inançlar verisi, kılık ve

kıyafet bilgisi, dernek üyeliği, vakıf üyeliği, sendika üyeliği, cinsel

hayat, biyometrik veri, genetik veri

Sağlık Bilgileri

(Özel Nitelikte Veri)

Engellilik durumuna ait bilgiler, kan grubu bilgisi, kişisel sağlık

bilgileri, kullanılan cihaz ve protez bilgileri gibi.

Ceza Mahkumiyeti ve

Güvenlik Tedbirleri

Ceza mahkumiyetine ilişkin bilgiler, güvenlik tedbirlerine ilişkin

bilgiler gibi.

11

Ek-2: Tanımlar

İfade Kanundaki Tanım

Açık rıza Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle

açıklanan rıza.

Anonim hâle

getirme

Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği

belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle

getirilmesi.

İlgili kişi Kişisel verisi işlenen gerçek kişi (Politika’da “veri sahibi” şeklinde ifade

edilmektedir).

İlgili

kullanıcı

Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden

sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu

içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda

kişisel verileri işleyen kişiler.

İmha Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.

Kişisel veri Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.

Kayıt Ortamı

Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin

parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin

bulunduğu her türlü ortam.

Kişisel veri

işleme

envanteri

Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları

kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri

kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek

oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami

süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine

ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter.

Kişisel

verilerin

işlenmesi

Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri

kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde

edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden

düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale

getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler

üzerinde gerçekleştirilen her türlü işlem.

Kurul Kişisel Verileri Koruma Kurulu

Özel nitelikte

kişisel veri

Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya

diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı,

cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile

biyometrik ve genetik verileri.

Periyodik

İmha

Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan

kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen

ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya

anonim hale getirme işlemi.

12

Politika

www.ismer.com.tr adresinden ulaşılabilecek, İŞMER elinde bulunan kişisel

verilerin yönetilmesine ilişkin usul ve esasları belirleyen Kişisel Veri

Saklama ve İmha Politikası.

Veri işleyen Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel

verileri işleyen gerçek veya tüzel kişi.

Veri kayıt

sistemi Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi.

Veri

sorumlusu

Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt

sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel

kişi.