TOHUM OTİZM VAKFI KİŞİSEL VERİLERİN KORUNMASI POLİTİKASI
1. Kişisel Verilerin Korunması Politikasının Amacı
a. İşbu Kişisel Verilerin Korunması Politikası (“Politika”), Tohum Türkiye Otizm Erken Tanı ve Eğitim Vakfı ile Tohum Türkiye Otizm Erken Tanı ve Eğitim Vakfı İktisadi İşletmesi’nin (“Tohum Otizm”) kişisel verilerin işlenmesi konusuna olan yaklaşımını belirlemekte ve;
i. Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi;
ii. Kişisel Verilerin İşlenmesi: Kişisel Verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi;
iii. Özel Nitelikli Kişisel Veriler: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri;
iv. Veri Sorumlusu: Kişisel Verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan herhangi bir gerçek veya tüzel kişiyi;
v. Veri İşleyen: Tohum Otizm tarafından verilen yetkiye dayanarak onun adına Kişisel Verileri işleyen gerçek veya tüzel kişiyi;
vi. Veri Sahibi: Kişisel Verilerin konusu olduğu gerçek kişiyi;
vii. Veri Kayıt Sistemi: Tohum Otizm tarafından kullanılan Kişisel Verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini;
viii. Kurul: Kişisel Verileri Koruma Kurulunu;
ix. Kurum: Kişisel Verileri Koruma Kurumunu;
x. Kanun: 7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazete’de yayınlanmış olan 6698 sayılı Kişisel Verilerin Korunması Kanunu’nu
ifade eder.
b. Politika’nın amacı; Tohum Otizm’in, kişisel verileri işlerken Kanun ve ilgili mevzuat ile uyumlu olmasını sağlamaktır. İşbu Politika ile Tohum Otizm’in;
i. Topladığı Kişisel Verilerin; içerik ve kategorileri; kullanılış biçimi; paylaşılabileceği yurtiçi ve yurtdışında bulunan kişi ve kurumlar;
ii. Kişisel Verilerin işleniş biçimleri;
iii. Kişisel Verilerin muhafaza edilme biçimleri;
iv. Kişisel Veri Sahiplerinin hakları;
v. Kişisel Verilerin korunmasına ilişkin alınan önlemler
hakkında Tohum Otizm’in faaliyetleri bakımından Kişisel Verilerin sahiplerini bu hususlarda aydınlatma amacı gütmektedir.
2. Tohum Otizm Tarafından Toplanan Kişisel Veriler ve Bunların İşleme Amacı
a. Tohum Otizm’in amacı, Tohum Türkiye Otizm Erken Tanı ve Eğitim Vakfı’nın vakıf senedinde belirtilmiş olan amaçların bütünüdür.
b. Tohum Otizm’in amacı ile ilişkili olarak aşağıdakilerle sınırlı olmamak üzere, Özel Tohum Vakfı Özel Eğitim Okulu’nda eğitim gören öğrencilerin, öğrencilerin ailelerinin, Tohum Otizm paydaşlarının, iş ortaklarının, gönüllülerinin, tedarikçilerinin, fon sağlayıcılarının, bağışçılarının, ziyaretçilerinin, işbirliği içinde olunan kurum çalışanlarının, müşterilerinin, çalışan adaylarının, çalışanlarının, stajyerlerinin yetkililerinin ve diğer üçüncü kişilerin Kişisel Verileri toplanabilmekte ve işlenebilmektedir:
i. Nüfus cüzdanı, sürücü belgesi, pasaport, ikametgâh, nüfus kayıt örneği, evlilik cüzdanı vb. kimlik belgeleri ve bunların örnekleri;
ii. Tapu, kira sözleşmesi, bordro, gayrimenkul beyanı, yeşil kart, vb. belgeler;
iii. Sağlık raporları, kan testleri, kan grubu karneleri, aşı takvimi, aşı kartı, tahliller, sağlam raporu vb. gibi sağlık bilgileri;
iv. Fotoğraf, video, parmak izi vb. gibi biyometrik ve genetik verileri;
v. Ev adresi, iş adresi, telefon numarası, elektronik posta adresi bilgileri;
vi. Banka hesap bilgileri, kredi kartı bilgileri, sağlık sigortası bilgileri, faturalama bilgileri vb. gibi finansal verileri;
vii. Sesli görüşme kayıtları;
viii. Askerlik terhis belgesi, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili, sabıka kaydı dâhil olmak üzere çeşitli bilgileri;
ix. Veri sahibinin imzasını tasdik eder nitelikte herhangi bir resmi belge;
c. Tohum Otizm, Kanun’un 5(2)(c) inci maddesinde düzenlenen istisnalar hariç olmak kaydıyla, Kişisel Verileri sadece aşağıda belirtilen amaç ve dayanaklar çerçevesinde işleyeceğini taahhüt etmektedir:
i. Tohum Otizm’in faaliyetlerinin yürütülmesinin temini için gerekli operasyonel faaliyetlerinin planlanması ve icrası;
ii. Veri güvenliğinin temini amacıyla verilerin yurtdışı veya yurtiçi serverlara aktarılması;
iii. Dış ve iç denetim, muhasebe işlerinin takibi;
iv. IT, hukuki danışmanlık hizmeti;
v. Geleceğe dönük planlama;
vi. İstatistik tutulması;
vii. Geçmiş çalışmaların takibi;
viii. İş yerinde düzen ve kontrol, yönetim, uyumun sağlanması;
ix. Ziyaretçi kayıtlarının oluşturulması ve takibi;
x. Tohum Otizm’in etkinliklerinden edinilen verilerin arşivlenmesi;
xi. Çalışanlara yönelik kurumsal iletişim/sorumluluk/etkinlik projelerinin planlanması ve/veya icrası;
xii. Tohum Otizm’in insan kaynakları politikaları ve süreçlerinin planlanması ve icra edilmesi;
xiii. İşe alım sürecinin işleyişinin kolaylaştırılması;
xiv. Tohum Türkiye Otizm Erken Tanı ve Eğitim Vakfı İktisadi İşletmesi’nin ticari ve/veya iş stratejilerinin planlanması ve icrası;
xv. Ticari uyuşmazlıkların çözümü;
xvi. Tohum Otizm’in ve Tohum Otizm ile iş ilişkisi içerisinde olan ilgili kişilerin hukuki, teknik ve ticari-iş güvenliğinin temin edilmesi;
xvii. Bilgi güvenliği süreçlerinin planlanması, denetimi ve icrası;
xviii. Bilgi teknolojileri alt yapısının oluşturulması ve yönetilmesi.
3. Veri Toplama Yöntemi
Tohum Otizm, Kişisel Verileri aşağıdaki belirtilen yöntemler ile toplayacaktır:
i. Elektronik posta;
ii. Faks;
iii. Telefon;
iv. Posta;
v. Kurye;
vi. Elden teslim.
4. İşleme ve Aktarım İzni
a. Yurtiçinde İşleme ve Aktarım:
Tohum Otizm’in ilgili kişilerin Kişisel Verilerinin yurtiçinde işlenmesi ve üçüncü gerçek ve tüzel kişilere aktarımı ilgili kişinin açık rızası ile mümkün olup açık rıza yoksa ancak aşağıdaki şartların varlığında gerçekleşecektir:
i. Kanunlarda açıkça öngörülmesi;
ii. Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması;
iii. Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait Kişisel Verilerin işlenmesinin gerekli olması;
iv. Tohum Otizm’in hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması;
v. İlgili kişinin kendisi tarafından alenileştirilmiş olması;
vi. Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması;
vii. İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Tohum Otizm’in meşru menfaatleri için veri işlenmesinin zorunlu olması.
b. Özel Nitelikli Kişisel Verilerin İşleme ve Aktarımı:
Özel nitelikli Kişisel Verilerin işlenmesi ve aktarımı ancak ilgili kişilerin açık rızası ile mümkün olup açık rıza yoksa ancak aşağıdaki şartların varlığında gerçekleşecektir:
i. Sağlık ve cinsel hayata ilişkin olmayan Kişisel Veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir.
ii. Sağlık ve cinsel hayata ilişkin Kişisel Veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
c. Yurtdışında Kişisel Veri İşleme ve Aktarım:
Tohum Otizm, ilgili kişilerin Kişisel Verilerinin yurtiçinde işlenmesi ve üçüncü gerçek ve tüzel kişilere aktarımı ilgili kişinin açık rızası ile mümkün olup açık rıza yoksa ancak aşağıdaki şartların varlığında gerçekleşecektir:
i. Tohum Otizm, Politika’nın 3.a ve 3.b maddelerinde belirtilen şartların mevcudiyeti halinde Veri Sahibinin açık rızası olmaksızın;
ii. Kişisel Verinin aktarılacağı yabancı ülkede yeterli korumanın bulunması; yeterli korumanın bulunmaması durumunda Tohum Otizm’in ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurul’un izninin bulunması halinde;
iii. Uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiye’nin veya ilgili Veri Sahibinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, Tohum Otizm ancak ilgili kamu kurum veya kuruluşunun görüşünü alarak Kurulun izniyle yurt dışına aktarılabilir.
5. Kişisel Verilerin Güvenliği
a. Tohum Otizm, Kişisel Verilerin güvenliğini aşağıdaki amaçları gerçekleştirmek için sağlayacak ve işbu amaçları sağlamak için uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alacaktır:
i. Kişisel Verilerin hukuka aykırı olarak işlenmesini önlemek;
ii. Kişisel Verilere hukuka aykırı olarak erişilmesini önlemek;
iii. Kişisel Verilerin muhafazasını sağlamak.
b. Tohum Otizm, Kişisel Verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, bu Politika’nın 4.a maddesinde belirtilen tedbirlerin alınması hususunda bu diğer Veri İşleyenlerle birlikte müştereken sorumludur.
c. Tohum Otizm, kendi kurum veya kuruluşunda, Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır.
d. Tohum Otizm ile Veri İşleyenler, öğrendikleri Kişisel Verileri Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevlerinin sona ermesinden sonra da devam eder.
e. İşlenen Kişisel Verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, Tohum Otizm bu durumu en kısa sürede Veri Sahibine ve Kurul’a bildirir.
6. Veri Sahibinin Hakları
a. Veri Sahipleri Kişisel Verilerine ilişkin aşağıdaki haklara sahiptir.
i. Kişisel Verilerinin işlenip işlenmediğini öğrenme;
ii. Kişisel Verileri işlenmişse buna ilişkin bilgi talep etme;
iii. Kişisel Verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme;
iv. Yurt içinde veya yurt dışında Kişisel Verilerin aktarıldığı üçüncü kişileri bilme;
v. Kişisel Verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme;
vi. Kanun’un 7. maddesi çerçevesinde Kişisel Verilerin silinmesini veya yok edilmesini isteme;
vii. Politika’nın 5.a.v ve 5.a.vi maddeleri uyarınca yapılan işlemlerin, Kişisel Verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme;
viii. İşlenen Kişisel Verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle Veri Sahibinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme; ve
ix. Kişisel Verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.
b. Politika’nın 5.a maddesinde belirtilen hakların kullanılması için ilgili kişiler taleplerini, yazılı olarak güvenli elektronik imza, mobil imza ya da ilgili kişi tarafından Tohum Otizm’e daha önce bildirilen ve Tohum Otizm’in sisteminde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle veya başvuru amacına yönelik geliştirilmiş bir yazılım ya da uygulama vasıtasıyla Tohum Otizm’in elektronik posta adresi olan info@tohumotizm.org.tr veya posta adresi “Merkez Mah. Sıracevizler Cad. Zülfikarlar İşhanı No:27, Kat:3 34380 Şişli/İstanbul/Türkiye” adresine iletir. İlgili kişilerin başvuruda;
i. Ad, soyad ve başvuru yazılı ise imza,
ii. Türkiye Cumhuriyeti vatandaşları için T.C. kimlik numarası, yabancılar için uyruğu, pasaport numarası veya varsa kimlik numarası,
iii. Tebligata esas yerleşim yeri veya iş yeri adresi,
iv. Varsa bildirime esas elektronik posta adresi, telefon ve faks numarası,
v. Talep konusu bulunması zorunludur.
7. Kişisel Verilerin Doğru ve Güncel Olarak Muhafaza Edilmesi ve Korunmasına İlişkin Önlemler
a. Tohum Otizm, Kişisel Verileri aşağıdaki yöntemler dâhilinde doğru ve güncel olarak muhafaza etmektedir:
i. Günlük yedeklemeler;
ii. MEBSİS;
iii. Fonzip, salesforce, euromessage, dataport;
iv. Firewall;
v. Antivirüs programları; ve,
vi. İdari kısıtlamalar ve yetkilendirmeler.
8. Kişisel Verilerin Korunması Politikasında Yapılacak Değişiklikler
Tohum Otizm, işbu Politika’da faaliyetlerin gerektirdiği ölçüde veya yasal açıdan gerekli olan değişiklikleri yapabilir. Söz konusu değişikliğe uğramış olan Politika metninin https://tohumotizm.org.tr sitesinde paylaşılması ile birlikte geçerlilik kazanacaktır. Tohum Otizm ayrıca, müşterilere, çalışanlara ve yetkililere yapılacak değişikliklerle ilgili elektronik posta yoluyla bildirimde bulunacaktır.