GAZİANTEP ORGANİZE SANAYİ BÖLGESİ MÜDÜRLÜĞÜ
KİŞİSEL VERİLERİ KORUMA, SAKLAMA VE İMHA POLİTİKASI
1. AMAÇ VE KAPSAM
Gaziantep Organize Sanayi Bölge Müdürlüğü’nce hazırlanan, Kişisel Verileri Koruma, Saklama ve İmha Politikası; Burada sayılanlarla sınırlı olmamak üzere; Bölge Müdürlüğümüz bünyesinde katılımcılarımızın, personelimizin, müşterilerimizin, tedarikçilerimizin, ziyaretçilerimizin, iş bağlantılarımızın, iş ortaklarımızın, Müdürlük Yönetim Kurulu’nun, Genel Kurul’un, Müdürlüğü’müz yetkililerinin, internet sitemizi ziyaret eden kullanıcıların vb. şekilde iş ilişkisine girilen tüm kişilerin Özel hayatın gizliğini korumak, Kişilerin temel hak ve özgürlüklerini korumak, Faaliyetlerimiz sırasında edindiğimiz tüm kişisel verilerin işlenmesi, saklanması, aktarılması, silinmesi ve anonim hale getirilmesine ilişkin işlemleri GAOSB Müdürlüğü Kişisel Verileri Koruma, Saklama ve İmha Politikasına göre gerçekleştirmek, Veri güvenliğini sağlamak, hak sahiplerini gerekli hususlarda bilgilendirmek ve her türlü şeffaflığı sağlamak amacıyla hazırlanmıştır.
İşbu Politika Müdürlüğümüzün internet sitesinde (http://gaosb.org) yayımlanır ve kişisel veri sahiplerinin talebi üzerine ilgili kişilerin erişimine sunulur.
2. TANIMLAR
Bölge Müdürlüğü: Gaziantep Organize Sanayi Bölge Müdürlüğü ’nü ifade eder.
Personel: Bölge Müdürlüğü’nde tam süreli, geçici süreli vb. çalışanlarını, stajyerlerini, çıraklarını, alt işveren personelini ifade eder.
KVKK: 6698 Sayılı Kişisel Verilerin Korunması Kanunudur.
KVK KURULU: Kişisel Kişisel Verileri Koruma Kurulu.
KEP: Kayıtlı Elektronik Posta adresidir. Her türlü ticari, hukuki yazışma ve belge paylaşımlarını gönderilen biçimde koruyan, alıcının kim olduğunu kesin olarak tespit eden, içeriğin kesinlikle değişmemesini ve içeriği yasal geçerli ve güvenli, kesin delil haline getiren sistemdir.
Açık rıza: Kişisel Verilerin Korunması Kanunu kapsamında bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade eder.
Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir.
Kişisel Veri Sahibi (İlgili Kişi): Kişisel verisi işlenen gerçek kişidir.
Çalışan: Bölge Müdürlüğü personelidir.
Özel Nitelikli Kişisel Veri: Kişilerin, ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi, veya diğer inançları, kılık ve kıyafeti, dernek, vakıf yada sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri ifade eder.
Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemdir.
Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişidir.
Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemidir.
Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan Bölge Müdürlüğü’ nü ifade eder.
Politika: Gaziantep Organize Sanayi Bölge Müdürlüğü Kişisel Verileri Koruma, Saklama ve İmha Politikasıdır.
3. KİŞİSEL VERİLERİN İŞLENMESİNDE UYGULANACAK İLKELER
3.1.Hukuka Ve Dürüstlük Kuralına Uygun Olma
Müdürlüğümüz tarafından kişisel verileri işleme faaliyeti sırasında hukuka ve dürüstlük kurallarına uygun şekilde hareket edilmektedir. Kişisel verilerin işlenmesi esnasında ölçülülük ve gereklilik esasları nazara alınarak, kişisel veriler amaçları çerçevesinde kullanılmaktadır.
3.2.Belirli, Açık ve Meşru Amaçlarla İşleme
Müdürlüğümüzce, Kişisel veri yalnızca veri toplanmadan önce belirlenmiş olan amaca hizmet etmek için açık, belirli ve meşru amaçlarla işlenebilir. Amacına uygun olmayan her türlü kişisel verinin, işlenmesinden kaçınılmaktadır.
3.3.Kişisel Verilerin Doğru ve Güncel Olmasını Sağlama
Müdürlüğümüz, işlemekte olduğu kişisel verilerin güncel ve doğru olmasını sağlamak ve bu doğrultuda gerekli tedbirleri almaktadır. Müdürlüğümüz tarafından hak sahiplerinin kişisel verilerini düzeltme ve güncelleştirmeye imkan verecek sistemler geliştirilmeye devam edilmektedir.
3.4.İşlendikleri Amaçla Bağlantılı, Sınırlı Ve Ölçülü Olma
Müdürlüğümüz, kişisel verileri belirlenen amaçların gerçekleştirilebilmesine elverişli bir biçimde işlemektedir. Bu kapsamda kişisel verileri işleme amacının gerçekleştirilmesiyle ilgili olmayan ya da ihtiyaç duyulmayan kişisel verileri işlemekten kaçınmaktadır.
3.5.Kişisel Verileri Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Etme
Müdürlüğümüz, kişisel verileri ilgili hukuki düzenlemelerin öngördüğü süreler dahilinde ve/veya işlendikleri amaç ile sınırlı olarak muhafaza etmektedir.
Anonim hale getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.
Kanun’da belirtilen sürelere uygun davranılmakta, süre belirlenmemiş ise haklı ve meşru amaç için gerekli olan süre kadar verileri muhafaza etmektedir. Sürenin bitimi veya işlenmesini gerektiren sebebin ortadan kalkması halinde, kişisel veriler Müdürlüğümüz tarafından silinmekte, yok edilmekte veya anonim hale getirilmektedir.
4. KİŞİSEL VERİLERİN GÜVENLİ BİR ŞEKİLDE SAKLANMASI İLE HUKUKA AYKIRI OLARAK İŞLENMESİ VE ERİŞİLMESİNİN ÖNLENMESİ İÇİN ALINACAK TEKNİK VE İDARİ TEDBİRLER
Müdürlüğümüz Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, Kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğunu bilmekte ve bu çerçevede azami özen ve ehemmiyeti göstermektedir. Müdürlüğümüz, sahip olduğu kişisel verilerin başkaca bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, yukarıda belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumlu olacaktır. Nitekim Müdürlüğümüz Kanun ve ilgili mevzuat hükümlerinin uygulanmasını sağlamak amacıyla tüm gerekli denetimleri yapmak ve yaptırmak zorunda olduğunun bilincindedir ve buna yönelik gerekli işlemleri yapmaktadır.
5. KİŞİSEL VERİLERİ İŞLEME ŞARTLARI ve AMACI
Kişisel verilerin işlenebilmesi için ilgili kişinin açık rızası gerekmektedir. Açık rıza dışında aşağıda belirtilen hallerden birinin ya da aynı anda birkaçının gerçekleşmesi halinde de kişisel veriler işlenebilir. Bu kapsamda Müdürlüğümüz kişisel veri işleme faaliyetlerinin bu şartlardan birinin kapsamına girip girmediğini değerlendirmekte ve bu şartlardan birine dayanmayan kişisel veri işleme faaliyetleri durdurmaktadır.
Müdürlüğümüz bünyesindeki kişisel veriler aşağıdaki amaç ve şartlar dahlinde işlenmektedir;
Kişisel veri sahibinin açık rızası belirli bir konuya ilişkin, bilgilendirilmeye dayalı olarak ve özgür iradesiyle açıklanmalıdır. Bu çerçevede Müdürlüğümüz kişisel veri sahibinin kişisel verisinin işlenebilmesi için açık rızasını alınması durumunda,
Kişisel verilerin işlenmesinin Kanunda açıkça öngörülmesi,
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan veri sahibinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, Müdürlüğümüz ile sözleşme akdeden tarafın kişisel verilerinin işlenmesi,
Müdürlüğümüzün hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
Veri sahibinin kendisi tarafından verinin alenileştirilmiş olması,
Veri sahibinin, Müdürlüğümüzün yahut üçüncü kişilerin haklarının tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
Veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Müdürlüğümüzün meşru menfaatleri için veri işlenmesinin zorunlu olması hallerinde kişisel veriler Müdürlüğümüz tarafından işlenmektedir.
6. KİŞİSEL VERİLERİN AKTARILMASI
Müdürlüğümüz, Kanuna ve ilgili mevzuata uygun olan kişisel veri işleme amaçları doğrultusunda gerekli güvenlik önlemlerini almak suretiyle, kişisel veri sahibinin kişisel verilerini, yurt içinde veya yurt dışında üçüncü kişilere aktarmaktadır. Kişisel veriler aktarılırken işleme amaçları doğrultusunda gerekli güvenlik önlemleri alınmaktadır.
Müdürlüğümüz meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda aşağıda sayılan KVK Kanunu’nun 5. maddesinde belirtilen kişisel veri işleme şartlarından bir veya birkaçına dayalı ve sınırlı olarak kişisel verileri üçüncü kişilere aktarabilmektedir:
Kişisel veri sahibinin açık rızası var ise,
Kanunlarda kişisel verinin aktarılacağına ilişkin açık bir düzenleme var ise,
Kişisel veri sahibinin veya başkasının hayatı veya beden bütünlüğünün korunması için zorunlu ise ve kişisel veri sahibi fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda ise veya rızasına hukuki geçerlilik tanınmıyorsa;
Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verinin aktarılması gerekli ise,
Müdürlüğümüzün hukuki yükümlülüğünü yerine getirmesi için kişisel veri aktarımı zorunlu ise,
Kişisel veriler, kişisel veri sahibi tarafından alenileştirilmiş ise,
Kişisel veri aktarımı bir hakkın tesisi, kullanılması veya korunması için zorunlu ise,
Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Müdürlüğümüzün meşru menfaatleri için kişisel veri aktarımı zorunlu ise.
7. ÖZEL NİTELİKTEKİ KİŞİSEL VERİLERİN AKTARILMASI
Müdürlüğümüz, Kanuna ve ilgili mevzuata uygun olan kişisel veri işleme amaçları doğrultusunda gerekli güvenlik önlemlerini almak suretiyle, kişisel veri sahibinin özel nitelikteki kişisel verilerini, yurt içinde veya yurt dışında üçüncü kişilere aktarmaktadır. Özel Nitelikteki Kişisel veriler aktarılırken işleme amaçları doğrultusunda gerekli güvenlik önlemleri alınmaktadır. Müdürlüğümüz meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda aşağıdaki durumlarda üçüncü kişilere aktarabilmektedir:
Kişisel veri sahibinin açık rızası var ise,
Kanunlarda kişisel verinin aktarılacağına ilişkin açık bir düzenleme var ise,
Kişisel veri sahibinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel verileri kanunlarda öngörülen hallerde,
• Kişisel veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimiamacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından istenmesi halinde.
8. KİŞİSEL VERİLERİN SINIFLANDIRILMASI
Kişisel veri; gerçek kişilere ait belirli ya da belirlenebilir nitelikte bulunan her türlü bilgi anlamına gelmektedir. Bu anlamda kimlik, adres, e-mail adresi, pasaport numarası, ses kaydı, resim, IP adresi, işe giriş-çıkış kayıtları, şikayet formları, bordro, muhasebe vs. tüm bilgiler kişisel veri olarak nitelendirilir.
9. KİŞİSEL VERİLERİN MUHAFAZA EDİLME SÜRELERİ
Müdürlüğümüz tarafından, veri sahibine ait kişisel veriler, mevzuatın öngördüğü süreler boyunca muhafaza edilmektedir. İlgili mevzuatta kişisel verilerin saklanmasına dair herhangi bir sürenin öngörülmemesi halinde Müdürlüğümüzün veri saklama politikaları, ticari teamüller, veri sahibinin menfaati, günün ihtiyaçlarını karşılama gibi kıstaslar nazara alınarak sunulan hizmetin niteliğine göre değişen süreler boyunca saklanabilmektedir.
Kişisel verilerin işlenme amacının ortadan kalkması, Kurumca belirlenen sürelerin sona ermesi yahut mevzuatta öngörülen sürelerin dolmasına karşın kişisel veriler yalnızca muhtemel hukuki uyuşmazlıklarda delil teşkil etmesi veya kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi veya savunmanın icra edilmesi amacıyla saklanabilmektedir. Buradaki sürelerin düzenlenmesinde bahsi geçen hakkın ileri sürülebilmesine yönelik zaman aşımı süreleri ile zaman aşımı sürelerinin geçmesine rağmen daha önce aynı veya benzer konularda Müdürlüğümüze yöneltilen taleplerdeki vakalar esas alınarak saklama süreleri belirlenmektedir. Bu amaçla kişisel verilere herhangi bir başka amaçla erişilmemekte ve ancak ilgili uyuşmazlıkta kullanılması gerektiği zaman ilgili kişisel verilere erişime izin verilmektedir. Burada da belirtilen süreler sona erdikten sonra kişisel veriler imha edilmektedir.
10. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ
KVKK’da özel nitelikteki kişisel verilerin işlenmesi için özel önlemler getirilebileceği düzenlenmiştir. Bu kapsamda özel nitelikli kişisel veriler işlenirken Kurul tarafından belirlenecek önlemler alınmalıdır.
Özel Nitelikli kişisel verilerden sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde veri sahibinin açık rızası aranmaksızın işlenmektedir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenmektedir.
Özel Nitelikli veriler, ırk ve etnik köken, siyasi düşünceler, dinsel veya felsefi inançlar, mezhep ve diğer inançları, vakıf ya da sendika üyeliği, sağlık ve cinsel yaşam, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerdir. Kanun lafzından özel nitelikli kişisel verilerin sınırlı sayı ilkesine tabi olduğu anlaşılmaktadır.
Müdürlüğümüz olarak yukarıda sayılan veri sahiplerine ilişkin kişisel verileri, kanuna uygun şekilde orantılılık ve gereklilik ilkelerini de dikkate alarak güvenle işleme faaliyetinde bulunmaktayız.
11. MÜDÜRLÜĞÜMÜZÜN KİŞİSEL VERİLERİ AKTARDIĞI GRUP
Müdürlüğümüz tarafından işlenen ve/veya sahip olunan kişisel veriler, Kanun’da belirtilen şartlara ve amaçlara uygun şekilde aşağıdaki kişi gruplarına aktarılmaktadır.
GAOSB’ye bağlı kuruluşlarına, iştiraklerine, iş ortaklarına
GAOSB Müdürlüğü, Yönetim Kurulu ve Genel Kurulu’na
GAOSB ile irtibatlı Organize Sanayi Bölgelerine,
OSB Üst Kuruluşu ve yetkililerine
Katılımcı, yer sahibi ve kiracılara
GAOSB ile iş birliği içerisinde bulunan yahut AOSB ile iş yapan kamu-özel kurum ve kuruluşlara
Hukuken yetkili diğer özel-kamu tüzel kişilerine
12. KİŞİSEL VERİLERİN GÜVENLİĞİNE YÖNELİK ALINAN TEKNİK VE İDARİ TEDBİRLER
Müdürlüğümüz, kişisel verilerin hukuka uygun ve güvenli şekilde saklanması hususunda gerekli idari ve teknik tedbirleri almaktadır. Bunun için;
Müdürlüğümüz bünyesinde gerçekleştirilen kişisel veri saklama, İşleme ve erişilme faaliyetleri kurulan teknik sistemlerle denetlenmektedir.
Alınan teknik önlemler ilgilisine raporlanmaktadır.
Teknik konularda bilgili personel istihdam edilmektedir.
Erişim yetkileri sınırlandırılmakta, söz konusu erişimler yetkili tarafından denetlenmektedir.
Virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılımlar ve donanımlar kullanılmaktadır.
Kişisel verilerin güvenli bir biçimde saklanmasını sağlamak için hukuka uygun bir biçimde yedekleme programları kullanılmaktadır.
Kişisel verilerin bulunduğu veri depolama alanlarına erişimler loglanarak, şifrelenerek uygunsuz erişimler engellenmeye çalışılmaktadır.
Çalışanlar, kişisel verilerin korunması hukuku ve kişisel verilerin hukuka uygun olarak saklanması, işlenmesi konusunda bilgilendirilmekte ve eğitilmektedir.
GAOSB Kişisel veri İşleme envanterinde Kişisel verileri işleyecek, saklayacak, erişebilecek personel belirlenmektedir.
Müdürlüğümüzde, Bölümler bazında belirlenen hukuksal uyum gerekliliklerinin sağlanması için ilgili bölümler özelinde farkındalık yaratılmakta ve uygulama kuralları belirlenmekte; bu hususların denetimini ve uygulamanın sürekliliğini sağlamak için gerekli idari tedbirler kurum içi politikalar ve eğitimler yoluyla hayata geçirilmektedir.
Müdürlüğümüz ile Katılımcılar arasında yapılan tüm Sözleşmelere, Kişisel Verilerin Korunması Kanun’a dair bilgilendirme yapılmakta, kişisel verilerin işlenmesi ve aktarılması hususunda Katılımcıların onayı alınmaktadır.
Müdürlüğümüz ile Katılımcılar arasında yapılan tüm Sözleşmelere, kişisel verileri amacı dışında ve Kanun’a aykırı şekilde işlememe, ifşa etmeme ve kullanmama yükümlülüğü getiren kayıtlar konulmakta ve bu konuda Katılımcıların farkındalığı yaratılmaktadır.
Alınan tüm teknik ve idari tedbirler çeşitli aralıklara denetim mekanizması tarafından kontrol edilmekte, risk analizi yapılarak gerekli önlemlerin alınması, güncellenmesi yahut değiştirilmesi sağlanmaktadır.
Müdürlüğümüz ve diğer kurum ve kuruluşlar arasında akdedilen tüm Sözleşmelere kişisel verilerin amacı dışında ve Kanun’a aykırı şekilde işlenmemesi, ifşa edilmemesi ve kullanılmaması yükümlülüğü getiren kayıtlar konulmakta ve bu konuda onay ve aydınlatma metinleri talep edilmektedir.
Müdürlüğümüz tarafından, verilerin korunması ve veri güvenliğinin sağlanması alınan tüm teknik ve idari tedbirler ile iş birimlerine verilen emir ve talimatlara uyulup uyulmadığı hususunun Kurum içi denetim birimleri tarafından denetiminin yapılması gerekmektedir. İşbu denetimleri AOSB, kendi içerisindeki yetkilisine yaptırabileceği gibi dışarıdan destek alarak dış kaynaklı denetim firmalarına da ilgili denetimleri yaptırabilir.
Gerçekleştirilen denetim faaliyetlerinin sonucunun GAOSB Bölge Müdürü ve GAOSB Yönetim Kurulu’na raporlanması gerekmektedir. İşbu denetim sonucunda planlanan aksiyon ve süreçlerin takibine dair sorumluluk ilgili birim ve yetkililere aittir. Ancak Kurum içi denetim birimleri tarafından da sürecin işleyişi ve uygunluğu hususunda gerekli denetimlerin yapılması gerekmektedir.
Müdürlüğümüz tarafından işlenen yahut aktarılan kişisel verilerin hukuka aykırı şekilde yetkisiz kişilerin eline geçtiğinin tespit edilmesi halinde derhal durum KVK Kurulu ve ilgili veri sahibine bildirilecektir. Buna dair kurulacak sistemde gerekli çalışmalar yapılmaktadır.
13. VERİ SORUMLULARI SİCİLİNE KAYIT OLMA (“VERBİS”)
KVK Kurulun’un gözetiminde, KVK Kurumu Başkanlığı tarafından kamuya açık olarak Veri Sorumluları Sicili tutulması gerekmektedir. Kişisel verileri işleyen Müdürlüğümüz, veri işlemeye başlamadan önce KVK Kurulu tarafından belirlenen ve bildirilen süre içerisinde Veri Sorumluları Siciline kaydolmak zorundadır. Veri sorumluları sicili, veri sorumluları sicil bilgi sisteminde tutulacaktır. Tüm sicil işlemleri bu VERBİS üzerinden sağlanacak olup, VERBİS’e sadece internet üzerinden kayıt sağlanabilecektir. Müdürlüğümüz tarafından, veri sahibi kişilerin yönelteceği taleplerin hızlı ve etkin cevaplandırılabilmesi, KVK Kurumu ile iletişimin sağlanması adına yetkili bir irtibat kişisi tayin edilecektir.
Veri Sorumluları Siciline kayıt başvurusu;
a) Veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri.
b) Kişisel verilerin hangi amaçla işleneceği,
c) Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar,
d) Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları,
e) Yabancı ülkelere aktarımı öngörülen kişisel veriler,
f) Kişisel veri güvenliğine ilişkin alınan tüm teknik ve idari tedbirler,
g) Kayıtlı Elektronik Posta adresimiz (KEP),
h) Kişisel verilerin işlendikleri amaç için gerekli olan azami süre hususlarını içeren bir bildirimle yapılır.
Bu hususları içeren bildirimde verilen bilgilerde meydana gelen değişiklikler derhâl Müdürlüğümüz tarafından Başkanlığa bildirilir.
14. KİŞİSEL VERİ SAHİPLERİNİN HAKLARI VE AYDINLATILMASI
Müdürlüğümüz, kişisel veri sahiplerinin Kanun’daki hak ve taleplerine hassasiyetle yaklaşmakta bu konuda tüm şeffaflıkla Kanuni sınırlar dahilinde yükümlülüklerini ifa etmektedir.
Kanun, kişisel verileri işlenen veri sahiplerine bu verilerinin kim tarafından, hangi amaçlarla ve hukuki sebeplerle işlenebileceği, kimlere hangi amaçlarla aktarılabileceği hususunda bilgi edinme hakkı tanımakta ve bu hususlar, Müdürlüğümüzün aydınlatma yükümlülüğü kapsamında yer almaktadır.
Veri sorumlusu olarak Müdürlüğümüz, Kanunun 10. maddesi çerçevesinde kişisel verilerin elde edilmesi sırasında bizzat veya yetkilendirdiği kişi aracılığıyla aşağıdaki bilgileri ilgili kişiye sağlamakla yükümlüdür. Müdürlüğümüz;
Veri işleme faaliyetinin ilgili kişinin açık rızasına bağlı olduğu veya faaliyetin Kanundaki diğer bir şart kapsamında yürütüldüğü durumlarda da Müdürlüğümüzün, veri sahibini bilgilendirme yükümlülüğü devam etmektedir. Müdürlüğümüz tarafından bu kapsamda işbu Politika’nın eki olarak yayınladığımız Aydınlatma Metnimize (Ek1) http://gaosb.org link üzerinden ulaşım sağlayabilirsiniz.
15. VERİ SAHİBİNİN HAKLARI VE HAKLARIN KULLANILMASI
Herkes, Müdürlüğümüze başvurarak kendisiyle ilgili bazı hakları ileri sürebilir. Veri Sahipleri;
a) Kişisel verisinin işlenip işlenmediğini öğrenme,
b) Kişisel verilerinin işlenmişse buna ilişkin bilgi talep etme,
c) Kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
d) Yurt içinde veya yurt dışında kişisel verilerinin aktarıldığı üçüncü kişileri bilme,
e) Kişisel verilerinin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
f) Kişisel verilerin silinmesi öngörülen şartlar çerçevesinde kişisel verilerinin silinmesini veya yok edilmesini isteme,
g) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerinin aktarıldığı üçüncü kişilere bildirilmesini isteme,
h) İşlenen verilerinin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
i) Kişisel verilerinin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahiptir.
Veri, bu Kanunun uygulanmasıyla ilgili taleplerini yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle Müdürlüğümüze iletebilir.
Bu açıklamalarımız doğrultusunda Müdürlüğümüze, KVK Kanunu’nun 11’inci maddesi kapsamında yapacağınız başvurularda, yukarıda belirtilen haklarınızı kullanmak için kimliğinizi tespite yarar bilgileriniz ve kullanmak istediğiniz hakkınıza yönelik açıklamalarınızla birlikte talebinizi, KVK Kanunu’nun 11’inci maddesinde belirtilen hangi hakkınızın kullanımına ilişkin olduğunu da belirterek aşağıdaki adrese iadeli taahhütlü mektup yoluyla yahut http://gaosb.org internet adresimizde yer alan Veri Sahibi Başvuru Formu’nu (Ek2) doldurarak KEP adresine e-posta yoluyla iletebilirsiniz.
1.ORGANİZE SANAYİ BÖLGE MÜDÜRLÜĞÜ 83120 CAD. NO:7 BAŞPINAR, ŞEHİTKAMİL/GAZİANTEP
Veri sahibinin başvuruyu bizzat yapması zorunludur. Veri sahibi dışındaki başka kişiler tarafından başvuruda bulunulması halinde, veri sahibi tarafından, başvuruda bulunacak kişi adına düzenlenmiş, içerisinde talep konusunda yetki verildiğine dair hususu barındıran özel vekaletname sunulması zorunludur. Aksi halde yapılacak başvurular veri gizliliği ilkesi gereği dikkate alınmayacaktır.
16. MÜDÜRLÜĞÜ’MÜZÜN BAŞVURULARA CEVAP VERMESİ
Müdürlüğümüz başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Kurulca belirlenen tarifedeki ücret başvuru sahibinden talep edilebilir.
Müdürlüğümüz, veri sahibi tarafından yapılan talebi kabul eder veya gerekçesini açıklayarak reddeder ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir. Başvuruda yer alan talebin kabul edilmesi hâlinde Müdürlüğümüz tarafından talep konusu gereği yerine getirilir. Müdürlüğümüzün, Kanuni yükümlülükler, haklı ve meşru menfaatleri sebebiyle, gerekçesini açıklayarak başvuruyu reddetme hakkı vardır.
17. VERİ SAHİBİNİN İTİRAZ HAKKI
Veri Sahibi, başvurusunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; Müdürülüğümüzün cevabını öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün içinde kurula şikâyette bulunma hakkı vardır. Müdürlüğümüze, başvuru yolu tüketilmeden şikâyet yoluna başvurulması mümkün değildir. Müdürlüğümüz KVK Kurulu tarafından verilen kararlara uygun hareket edecektir.
18. KİŞİSEL VERİLERİ YOK ETME, SİLME VE ANONİM HALE GETİRME
Müdürlüğümüz, KVKK madde 12 ve madde 13’de yer alan kişisel verilerin işlenme şartlarının ve amacının tamamının ortadan kalkması hallerinde, kişisel verilerin resen veya ilgili kişinin talebi üzerine silinmesi, yok edilmesi veya anonim hâle getirilmesi konusunda yükümlülüklerini yerine getirmektedir.
Müdürlüğümüz, kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesinde işbu Politika’da düzenlenen genel ilkeler ile teknik ve idari tedbirlere, ilgili mevzuat hükümlerine, KVK Kurulu kararlarına ve kişisel veri saklama ve imha politikasına uygun olarak hareket etmektedir.
Müdürlüğümüz tarafından kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az iki yıl süreyle saklanır.
Müdürlüğümüz, KVK Kurulu tarafından aksine bir karar alınmadıkça, kişisel verileri resen silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanını seçer. İlgili kişinin talebi halinde uygun yöntemi gerekçesini açıklayarak seçer.
Kişisel Verilerin Silinmesi
Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Müdürlüğümüz, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirleri almaktadır.
Kişisel Verilerin Yok Edilmesi
Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Müdürlüğümüz, kişisel verilerin yok edilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almaktadır.
Kişisel Verilerin Anonim Hale Getirilmesi
Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, Müdürlüğümüz, alıcı veya alıcı grupları tarafından geri döndürme ve verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir. Müdürlüğümüz, kişisel verilerin anonim hale getirilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almaktadır.
Müdürlüğümüz bünyesinde bulunan kişisel verileri düzenlenen çeşitli yöntemleri kullanmak suretiyle silecek, yok edecek ve/veya anonim hale getirecektir. Bunlara örnek olarak;
Kağıt Ortamında Bulunan Kişisel Verilerde karartma yöntemi kullanılması, (Karartma işlemi, ilgili evrak üzerindeki kişisel verilerin, mümkün olan durumlarda kesilmesi, mümkün olmayan durumlarda ise geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit mürekkep kullanılarak ilgili kullanıcılara görünemez hale getirilmesi şeklinde yapılır.)
Merkezi Sunucuda yer alan ofis dosyalarının işletim sistemindeki silme komutu ile silinmesi veya dosya ya da dosyanın bulunduğu dizin üzerinde ilgili kullanıcının erişim haklarının kaldırılması gerekir.
Kişisel Verileri Resen Silme, Yok Etme veya Anonim Hale Getirme Süreleri
Müdürlüğümüz, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim hale getirir.
Periyodik imhanın gerçekleştirileceği zaman aralığı, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden 30 gün içerisinde Müdürlüğümüz tarafından gerçekleştirilecektir. Zorunlu hallerde bu süre kanun gereği en fazla 30 gün daha uzatılabilir.
Müdürlüğümüz, telafisi güç veya imkânsız zararların doğması ve açıkça hukuka aykırılık olması halinde, KVK Kurulu’nun bu maddede belirlenen süreleri kısaltabileceğini kabul eder.
Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa Müdürlüğümüz bu durumu üçüncü kişiye bildirir; üçüncü kişi nezdinde Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik kapsamında gerekli işlemlerin yapılmasını temin eder.
Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep Müdürlüğümüz tarafından gerekçesi açıklanarak reddedilebilir ve ret cevabı Veri Sahibine en geç 30 gün içinde yazılı olarak ya da elektronik ortamda bildirilir.
Veri Sahibinin Kişisel Verilerinin Silinmesi ve Yok Edilmesi Talebi
Veri Sahibi, Kanunun uygulanmasıyla ilgili taleplerini yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle Müdürlüğe iletir.
Müdürlük başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç 30 gün içinde ücretsiz olarak sonuçlandırır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Kurulca belirlenen tarifedeki ücret esas alınabilir.
Müdürlüğümüz, talebi kabul eder veya gerekçesini açıklayarak reddeder ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir. Başvuruda yer alan talebin kabul edilmesi hâlinde Müdürlüğümüz tarafından gereği yerine getirilir. Başvurunun Müdürlüğümüzün hatasından kaynaklanması hâlinde alınan ücret ilgiliye iade edilir.
19. KİŞİSEL VERİLERİN İŞLENME FAALİYET VE POLİTİKALARI
Müdürlüğümüz tarafından güvenliğin sağlanması amacıyla, Müdürlüğümüz bina ve tesislerinde güvenlik kamerasıyla izleme faaliyeti ile misafir giriş çıkışlarının takibine yönelik kişisel veri işleme faaliyetinde bulunulmaktadır. Güvenlik kameraları kullanılması ve misafir giriş çıkışlarının kayıt altına alınması yoluyla Müdürlüğümüz tarafından kişisel veri işleme faaliyeti yürütülmüş olmaktadır. Müdürlüğümüz bu yolla veri işlerken Anayasa başta olmak üzere Kanun ve diğer tüm mevzuata uygun hareket etmektedir. Müdürlüğümüz, bina ve tesislerindeki güvenlik kamerası ile izleme faaliyetini, sunmakta olduğu hizmetin kalitesini arttırmak, güvenilirliğini sağlamak, olası suçların önüne geçmek, ziyaretçilerin ve diğer kişilerin güvenliğini sağlamak ve ziyaretçilerin aldıkları hizmete ilişkin menfaatlerini korumak ve olası suç teşkil eden eylemlerde adli yargı makamlarına yardımcı amacıyla yürütmektedir.
Müdürlüğümüz bünyesinde dijital ortamda kaydedilen ve muhafaza edilen kayıtlara yalnızca sınırlı sayıda personelin erişimi bulunmaktadır. Canlı kamera görüntülerini ise Kurum içinde hizmet veren güvenlik görevlileri izleyebilmektedir. Kayıtlara erişimi olan sınırlı sayıdaki gizlilik taahhütnamesi ile eriştiği verilerin gizliliğini koruyacağını beyan etmektedir.
GAOSB bina ve tesisleri içerisinde talep eden ziyaretçilerimize internet erişimi imkanı sunulmaktadır. Bu bağlamda internet erişimlerinize ilişkin log kayıtları 5651 Sayılı Kanun’a uygun şekilde kayıt altına alınmakta; bu kayıtlar ancak yetkili kamu kurum ve kuruluşları tarafından talep edilmesi veya Kurum içinde gerçekleştirilecek denetim süreçlerinde ilgili hukuki yükümlülüğümüzü yerine getirmek amacıyla işlenmektedir. Bu çerçevede elde edilen log kayıtlarına yalnızca sınırlı sayıda personelin erişim imkanı bulunmaktadır. Bahsi geçen kayıtlara erişimi olan personel bu kayıtları yalnızca yetkili kamu kurum ve kuruluşundan gelen talep veya denetim süreçlerinde kullanmak üzere erişmekte ve hukuken yetkili olan kişilerle paylaşmaktadır.
Müdürlüğümüze ait internet adresinde, bu adresi ziyaret eden kişilerin adresteki ziyaretlerini ziyaret amaçlarıyla uygun bir şekilde gerçekleştirmelerini temin etmek; kendilerine özelleştirilmiş içerikler gösterebilmek ve çevrimiçi reklamcılık faaliyetlerinde bulunabilmek maksadıyla teknik vasıtalarla site içerisindeki internet hareketleri kaydedilmektedir.
20. KİŞİSEL VERİLERE DAİR GENEL İŞLEYİŞ POLİTİKASI
Müdürlüğümüz bünyesinde işbu politika ve bu politikaya bağlı ve ilişkili diğer politikaları yönetmek üzere, Müdürlük yetkilileri ve/veya GAOSB Yönetim Kurulu tarafından uyum için belirlenen aksiyonların yerine getirilmesinden sorumlu “Kişisel Verilerin Korunması Komisyonu” veya bu konuda sorumlu olacak kişi ataması yapılacaktır. Bu kapsamda Komisyon veya atanacak kişi tarafından aşağıda sıralanan asgari aksiyonlar alınacaktır:
21. YÜRÜRLÜK
İşbu Politika dokümanı, Gaziantep Organize Sanayi Bölge Müdürlüğü Yönetim Kurulu tarafından oybirliği ile onaylandığı ve imzalandığı andan itibaren yürürlüğe girer. İşbu Politikanın yürürlükten kaldırılması hususu hariç Politika üzerinde yapılacak değişiklikler konusunda Yönetim Kurulu tarafından Bölge Müdürü’ne yetki verilmiştir.
İşbu Politikaya bağlı olarak yapılacak düzenlemeler, Politikanın ne şekilde icra edileceğine dair oluşturulan uygulama metodları yönetmelik şeklinde düzenlenecektir. İşbu Kurum Yönetmeliği Bölge Müdürü’nün ve/veya Yönetim Kurulu’nun onayıyla yürürlüğe girer.
İşbu Politika yılda en az bir kez gözden geçirilerek, gerekli değişiklikler hususunda GAOSB Müdürü’nün onayına sunulur. Bölge Müdürü onay vermediği sürece, herhangi bir değişiklik yapılması mümkün değildir.