KVK Politikası

TÜRK ORTOPEDİ VE TRAVMATOLOJİ BİRLİĞİ DERNEĞİ

KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI

İÇİNDEKİLER

1. GİRİŞ

1.1. Amaç

6698 sayılı Kişisel Verilerin Korunması Kanunu’nda yer alan düzenlemelere uyum kapsamında hazırlanmış bulunan işbu “Kişisel Verilerin Korunması ve İşlenmesi Politikası”nın temel amacı; Türk Ortopedi ve Travmatoloji Birliği Derneği, şubeleri ve kendisine bağlı Türk Ortopedi ve Travmatoloji Birliği Derneği İktisadi İşletmesi tarafından yasal mevzuat çerçevesinde gerçekleştirilen kişisel veri işleme faaliyetinin yürütülmesinde benimsenen ilkelerin belirlenmesi, veri sahiplerinin şeffaf ve doğru şekilde bilgilendirilmesi ve haklarını etkin şekilde kullanabilmelerinin sağlanmasıdır.

1.2. Kapsam

Türk Ortopedi ve Travmatoloji Birliği Derneği üyeleri, çalışanları, çalışan adayları, hizmet sağlayıcıları, ziyaretçiler, internet sitemizi ziyaret eden kullanıcılar ve diğer üçüncü kişilere ait tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel veriler bu Politika kapsamında olup Türk Ortopedi ve Travmatoloji Birliği Derneği’nin sahip olduğu ya da Türk Ortopedi ve Travmatoloji Birliği Derneği tarafından yönetilen kişisel verilerin işlendiği tüm kayıt ortamları ve kişisel veri işlenmesine yönelik tüm faaliyetlerde bu Politika uygulanır.

1.3. Kısaltmalar ve Tanımlar

TOTBİD (Dernek) : Türk Ortopedi ve Travmatoloji Birliği Derneği, şubeleri ve Türk Ortopedi ve Travmatoloji Birliği Derneği İktisadi İşletmesi

Açık rıza : Belirli bir konuya ilişkin, bilgilendirilmeye ve özgür iradeye dayanan, tereddüde yer bırakmayacak açıklıkta, sadece o işlemle sınırlı olarak verilen onay

Alenileştirme : Kişisel verilerinin ilgili kişinin kendisi tarafından herhangi bir şekilde kamuoyuna açıklanmış olmasıdır.

Anonim hale getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.

Aydınlatma Yükümlülüğü: Veri sorumlusunun, kişisel verilerini işlediği kişilere, bu verilerinin kim tarafından, hangi amaçlarla ve hangi hukuki gerekçelere dayanarak işlenebileceği, kimlere hangi amaçlarla aktarılabileceği hususunda bilgi vermesi yükümlülüğüdür.

Çalışan: TOTBİD personeli

Çalışan adayı: TOTBİD’e iş başvurusunda bulunmuş olan kişiler

İlgili Kişi (Kişisel Veri Sahibi) : Kişisel verisi işlenen gerçek kişiler

İmha : Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini ifade eder.

Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgİ

Özel nitelikli kişisel veri: Kişilerin, ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik veriler

Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem

KVKK: 7 Nisan 2016 tarihli ve 29677 sayılı Resmî Gazetede yayımlanan Kişisel Verilerin Korunması Kanunu

Politika: TOTBİD Kişisel Verilerin Korunması ve İşlenmesi Politikası

Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi

Veri Kategorisi: Kişisel verilerin ortak özelliklerine göre gruplandırıldığı veri konusu kişi grubu veya gruplarına at kişisel veri sınıfıdır.

Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişi

2. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN TEMEL İLKELER

TOTBİD tarafından kişisel verilerin işlenmesinde aşağıda yer alan genel ilkelere bağlı kalınmaktadır.

2.1.Hukuka ve Dürüstlük Kuralına Uygun Olma

TOTBİD tarafından kişisel veriler ilgili kişilerin temel hak ve özgürlüklerine zarar gelmeyecek şekilde, T.C. Anayasası ve kişisel verilerin korunması mevzuatı çerçevesinde hukuka ve dürüstlük kuralına uygun olarak; şeffaf bir şekilde ve aydınlatma yükümlülüklerine uyularak işlenmektedir.

2.2.Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama

İşlenen kişisel verilerin işlendiği süre boyunca doğru ve güncel olması için TOTBİD gerekli önlemleri almakta; aktif özen yükümlülüğü çerçevesinde ilgili kişinin bilgilerinin doğru ve güncel olmasını temin edecek kanalları açık tutmaktadır.

2.3.Belirli, Açık ve Meşru Amaçlarla İşleme

TOTBİD, kişisel verilerin meşru işlenme amaçlarını kesin ve açıkça ortaya koymakta ve kişisel verileri belirlenen Dernek faaliyetleriyle bağlantılı amaçlar kapsamında işlemektedir.

2.4.İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma

TOTBİD, kişisel verileri yalnızca Dernek faaliyetlerinin gerektirdiği nitelikte ve ölçüde toplamakta olup belirlenen amaçlarla bağlantılı, sınırlı ve ölçülü olarak işlemektedir. Bu kapsamda, kişisel veri işleme amacı, kişisel veri işleme faaliyetine başlanmadan önce belirlenmekte, ileride kullanılabileceği varsayımı ile veri işleme faaliyeti yürütülmemektedir.

2.5.İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç için Gerekli Olan Süre Kadar Muhafaza Etme

TOTBİD, kişisel verileri ilgili yasal mevzuatta öngörülen süre kadar; böyle bir süre bulunmaması halinde ise işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. Bir verinin daha fazla saklanması için geçerli bir sebep bulunmaması; mevzuatta öngörülen saklama süresinin sona ermesi veya işleme amacının ortadan kalkması durumunda söz konusu kişisel veriler periyodik imha sürelerine veya veri sahibi başvurusuna uygun olarak silinir, yok edilir veya anonim hale getirilir. İleride kullanılma ihtimaline dayanılarak kişisel veriler saklanmamaktadır. Kişisel verilerin saklanması ve imhasına ilişkin prosedürler Derneğimiz Kişisel Veri Saklama ve İmha Politikası’nda ayrıntılı olarak düzenlenmektedir.

3. KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASINA İLİŞKİN HUKUKİ YÜKÜMLÜLÜKLER

3.1. Veri Güvenliğinin Sağlanması Yükümlülüğü

TOTBİD, veri sorumlusu sıfatıyla toplamış olduğu kişisel verilerin hukuka aykırı olarak işlenmesini, açıklanmasını, erişilmesini önlemek ve bunların hukuka uygun olarak saklanmasını sağlamak için mevzuatta belirlenmiş bulunan idari ve teknik tedbirleri almakta, gerekli denetim mekanizmalarını oluşturmaktadır. Veri güvenliğine ilişkin yükümlülükler ve alınan tedbirler işbu Politika’nın 12. bölümünde detaylandırılmaktadır.

3.2. Aydınlatma Yükümlülüğü

TOTBİD, KVKK 10. maddesine ve ilgili mevzuata uygun biçimde kişisel veri sahiplerinin bilgilendirilmesini sağlamak için gerekli süreçleri yürütmekte ve veri sahiplerine sunulan aydınlatma metinlerinde aşağıda sıralanan bilgiler çerçevesinde onları aydınlatma yükümlülüğünü yerine getirmektedir; Veri sorumlusunun kimliği, Veri sahiplerinin kişisel verilerinin hangi amaçla işleneceği, İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, Kişisel veri toplamanın yöntemi ve hukuki sebebi, İlgili Kişinin sahip olduğu haklar

4. KİŞİSEL VERİLERİN İŞLENME ŞARTLARI

TOTBİD tarafından ilgili kişinin açık rızasının temin edilmesi dışında kişisel veri işleme faaliyetinin dayanağı KVKK madde 5’te belirtilen şartlardan en az biri olabileceği gibi birden fazla şart da veri işleme faaliyetin dayanağını oluşturabilir.

Buna göre yasal düzenleme çerçevesinde kişisel verilerin işlenme şartları;

İlgili kişinin açık rızasının varlığı;

TOTBİD, yasal mevzuatta belirtilen işleme şartlarından herhangi birinin bulunmaması halinde, aydınlatma yükümlülüğünü yerine getirerek ilgili kişinin açık rızasını yazılı/basılı veya elektronik ortamlarda yer alan açık rıza metinleriyle almak suretiyle kişisel veri işleme faaliyetinde bulunmaktadır. Kişisel veri sahibinin açık rızası belirli bir konuya ilişkin, bilgilendirilmeye dayalı olarak ve özgür iradeyle açıklanmalıdır.

Kişisel veri sahibinin açık rızasına gerek kalmaksızın kişisel verilerinin işlenebileceği durumlar;

Kanunlarda açıkça öngörülmesi	İlgili kanunda kişisel verilerin işlenmesine ilişkin açıkça bir hüküm olması halinde veri sahibinin kişisel verileri işlenebilecektir.
Fiili İmkânsızlık Sebebiyle İlgilinin Açık Rızasının Alınamaması	Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına geçerlilik tanınamayacak olan kişinin kendisinin ya da başka bir kişinin hayatı veya beden bütünlüğünü korumak için kişisel verisinin işlenmesinin zorunlu olması halinde veri sahibinin kişisel verileri açık rıza aranmaksızın işlenebilecektir.
Sözleşmenin Kurulması veya İfasıyla Doğrudan İlgi Olması	İlgili kişinin taraf olduğu bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla ve sözleşme tarafı veri sahibinin kişisel verilerinin işlenmesinin gerekli olması halinde, bu amaçla sınırlı olmak üzere kişisel verileri açık rıza aranmaksızın işlenebilecektir.
TOTBİD’in hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması	TOTBİD’in hukuki yükümlülüklerini yerine getirmesi için işlemenin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.
İlgili kişinin kendisi tarafından alenileştirilmiş olması	Veri sahibinin, kişisel verisini alenileştirmiş olması halinde ilgili kişisel veriler alenileştirme amacıyla sınırlı olarak işlenebilecektir.
Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması	Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.
İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, TOTBİD’in meşru menfaatleri için veri işlenmesinin zorunlu olması	Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla TOTBİD’in meşru menfaatleri için veri işlemesinin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.

5. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENME ŞARTLARI

TOTBİD tarafından özel nitelikli kişisel veriler, KVKK 6.maddesi ile mevzuata uygun olarak ve Kişisel Verileri Koruma Kurulu’nun belirlediği idari ve teknik tedbirler alınarak ve ilgili kişinin açık rızasının varlığı halinde veya mevzuatın zorunlu kıldığı hallerde işlenebilecektir. Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, kanunlarda açıkça öngörülmesi halinde veri sahibinin açık rızası aranmaksızın işlenebilecektir.

6. İŞLENEN KİŞİSEL VERİLERE İLİŞKİN KATEGORİLER

TOTBİD nezdinde, KVKK 5. ve 6. Maddesinde belirtilen kişisel veri işleme şartlarından en az birinin varlığı halinde, aydınlatmaya dayalı olarak ve kişisel veri işleme amaçlarımız doğrultusunda işlenen kişisel veri kategorileri, açıklama ve içerikleri ile veri sahipleri;

Kişisel Veri Kategorisi	Açıklama ve İçerik	Veri Sahipleri
Kimlik Bilgileri	Kişinin kimliğinin belirlenmesine ilişkin verilerdir. İsim, soy isim, doğum tarihi ve yeri, T.C kimlik no, cinsiyet, medeni hal, uyruk bilgisi, TC kimlik kartı bilgileri, vergi numarası, pasaport bilgileri, kimlik fotokopisi v.b. bilgiler.	Dernek üyelerimiz, üye adaylarımız, çalışanlarımız, çalışan adaylarımız, kurs/ konferans/toplantı gibi etkinlik katılımcılarımız, dernek üyelerimiz dışındaki kurul/konsey/komisyon üyelerimiz, Dernek hizmet ve faaliyetlerinden yararlanmak için başvuranlar, hizmet alınan gerçek kişiler, satış yapılan gerçek kişiler, iş birliği yaptığımız üçüncü kişiler.
İletişim Bilgileri	İkametgâh/Çalışılan Kurum/İşyeri adres bilgileri, telefon numaraları, elektronik posta adresi, faks numarası veya diğer iletişim kanallarına ilişkin bilgiler	Dernek üyelerimiz, üye adaylarımız, çalışanlarımız çalışan adaylarımız, kurs/ konferans/toplantı gibi etkinlik katılımcılarımız, dernek üyelerimiz dışındaki kurul/konsey/ komisyon üyelerimiz, Dernek hizmet ve faaliyetlerinden yararlanmak için başvuranlar, hizmet alınan gerçek kişiler, satış yapılan gerçek kişiler, iş birliği yaptığımız üçüncü kişiler.
Finansal Bilgiler	Derneğimizin kişisel veri sahibi ile kurduğu hukuki ilişkinin niteliğine göre işlenmesi gereken bilgi, belge ve kayıtlara ilişkin işlenen kişisel veriler ile banka hesap numarası, IBAN numarası, kredi kartı bilgisi, gelir bilgisi gibi bilgiler	Dernek üyelerimiz, çalışanlarımız çalışan adaylarımız, kurs/ konferans/toplantı gibi etkinlikler için ödeme yapan katılımcılarımız, Dernek hizmet ve faaliyetlerinden yararlanmak için başvuranlar, hizmet alınan gerçek kişiler, satış yapılan gerçek kişiler, iş birliği yaptığımız üçüncü kişiler.
Aile Bireyleri ve Yakın Bilgisi	Veri sahibinin hukuki menfaatlerini korumak amacıyla kişisel veri sahibinin aile bireyleri (örneğin; eş, anne, baba, çocuk) ve yakınları hakkındaki kişisel veriler.	Dernek üyelerimiz, çalışanlarımız çalışan adaylarımız.
Özlük Bilgisi	Derneğimizle çalışma ilişkisi içerisinde olan gerçek kişilerin özlük haklarının oluşmasına temel olacak bilgilerin elde edilmesine yönelik işlenen her türlü kişisel veri.	Dernek çalışanlarımız.
Görsel ve İşitsel Veriler	Vesikalık fotoğraf; yasal düzenlemelerin olanak tanıdığı kapsamda toplantı ve etkinlik görsellerini oluşturan fotoğraflar, ses ve kamera kayıtları.	Dernek üyelerimiz, üye adaylarımız, çalışanlarımız çalışan adaylarımız, kurul/komisyon üyelerimiz, kurs/ konferans/toplantı gibi etkinlik katılımcılarımız.
Eğitim Verileri	Derneğimiz amaçları çerçevesinde yürüttüğü faaliyetleri kapsamında doldurulmuş/doldurulacak olan başvuru/etkinlik formlarında yer alan; okul/eğitim bilgileri; öğrenim durumu, sertifika ve diploma bilgileri, yabancı dil bilgileri, eğitim ve beceriler, gidilen seminer ve kurslar; yayınlar	Dernek üyelerimiz, üye adaylarımız, çalışanlarımız çalışan adaylarımız, kurs/ konferans/ toplantı gibi etkinlik katılımcılarımız, dernek üyelerimiz dışındaki kurul/komisyon üyelerimiz, Dernek hizmet ve faaliyetlerinden yararlanmak için başvuranlar, hizmet alınan gerçek kişiler, satış yapılan gerçek kişiler, iş birliği yaptığımız üçüncü kişiler.
Mesleki Veriler	Uzmanlık alanı, unvanı, çalışılan kurum,	Dernek üyelerimiz, üye adaylarımız, çalışan adaylarımız, kurs/ konferans/toplantı gibi etkinlik katılımcılarımız, dernek üyelerimiz dışındaki kurul/komisyon üyelerimiz, Dernek hizmet ve faaliyetlerinden yararlanmak için başvuranlar, hizmet alınan gerçek kişiler, satış yapılan gerçek kişiler, iş birliği yaptığımız üçüncü kişiler.
Özel Nitelikli Kişisel Veriler	Yasal zorunluluklar dışında, Derneğimizin doğrudan bu bilgileri işleme amacı olmamakla birlikte Derneğe iletilmiş olan kimlik belgesi ve fotoğraflar kapsamında dolaylı olarak edinilme ihtimali olan din, felsefi inanç, siyasi düşünce ve sağlık verileri (örneğin fotoğraftan anlaşılan kıyafet, cihaz ve protezler) ile başvuru formlarında ihtiyari olarak belirtilmiş dernek üyelikleri.	Dernek üyelerimiz, üye adaylarımız, çalışanlarımız çalışan adaylarımız, kurs/ konferans/toplantı gibi etkinlik katılımcılarımız, dernek üyelerimiz dışındaki kurul/komisyon üyelerimiz, Dernek hizmet ve faaliyetlerinden yararlanmak için başvuranlar.
İşlem Güvenliği Bilgisi	Dernek faaliyetlerini yürütürken teknik, idari, hukuki ve ticari güvenliğimizin sağlanabilmesi için işlenen veriler. (web trafik verisi, log kayıtları gibi)	Çevrim içi ziyaretçiler.
Ziyaretçi işlem verisi	(web sayfası&app gezinti bilgisi)	Çevrim içi ziyaretçiler.
Hukuki İşlem ve Uyum Bilgisi	Hukuki hak ve alacakların belirlenmesi, takibi ve yükümlülüklerimizin ifası ile kanuni yükümlülüklerimiz ve Dernek politikalarına uyum kapsamında işlenen kişisel veriler.
Talep/Şikâyet Yönetimi Bilgisi	Derneğimize iletilen her türlü talep ve şikayetlerin alınması, değerlendirilmesi ve sonuçlandırılmasına ilişkin kişisel veriler.	Talep ve şikayet tarafı
Diğer Veriler	İmza, referans bilgileri (öneren kişinin adı soyadı)	Dernek üyelerimiz, üye adaylarımız, çalışanlarımız, çalışan adaylarımız, kurs/ konferans/ toplantı gibi etkinlik katılımcılarımız, dernek üyelerimiz dışındaki kurul/konsey/komisyon üyelerimiz, Dernek hizmet ve faaliyetlerinden yararlanmak için başvuranlar, hizmet alınan gerçek kişiler, satış yapılan gerçek kişiler, iş birliği yaptığımız üçüncü kişiler.

7. KİŞİSEL VERİ İŞLEME AMAÇLARI

TOTBİD olarak kişisel verileri genel olarak ve fakat bunlarla sınırlı olmamak üzere aşağıda sayılan ana amaçlarla işlenmektedir:

Yasal mevzuat hükümleri çerçevesindeki hukuki yükümlülüklerin yerine getirilmesi,
Dernek faaliyetlerinin planlanması ve yönetilmesi,
Dernek üyelik başvuru ve değerlendirme süreçlerinin yürütülmesi,
Üyelik takibinin yapılması ve aidatların ödenmesine ilişkin süreçlerin yönetilmesi,
Kurumsal iletişim faaliyetlerinin planlanması ve yürütülmesi,
Tedarikçiler ve diğer üçüncü kişiler ile olan ilişkilerin yürütülmesi,
Dernek insan kaynakları politikaları ve süreçlerinin planlanması ve icra edilmesi,
Etkinlik ve faaliyet katılımcı kayıtlarının oluşturulması ve yönetimi,
Dernek İktisadi İşletmesi tarafından sunulan hizmetlere ilişkin süreçlerin yürütülmesi,
Etkinlik organizasyon ve yönetimine ilişkin süreçlerin yürütülmesi,
Burs başvurularının alınması, değerlendirilmesi ve ödenmelerine ilişkin süreçlerin yönetilmesi,
Her türlü talep ve şikâyet süreçlerinin yönetilmesi,
Sözleşme süreçlerinin ve/veya hukuki taleplerin takibi,
İstatistiksel çalışmalar yapılması,
Finans ve muhasebe işlerinin yürütülmesi,
Hizmetler karşılığında faturalandırma yapılması,
Mevzuata aykırı ve yetkisiz işlemlerin izlenmesi ve engellenmesi,
Bilgi ve bilişim güvenliğinin sağlanması,
Dernek ile iş ilişkisinde bulunan gerçek ve tüzel kişilerle irtibat sağlanması,
Acil durum yönetimi süreçlerinin planlanması ve icra edilmesi,
Düzenleyici ve denetleyici kurumlarla, resmi mercilerin denetimleri doğrultusunda gerekli bilgilerin verilmesi.

TOTBİD olarak kişisel verileri işleme amaçlarına; işlenen her veri kategorisinde yer alan veri sahipleri özelinde hazırlanan Aydınlatma Metinlerinde ayrıntılı olarak yer verilmekte olup; bu aydınlatma metinlerinde belirtilen veri işleme faaliyetlerinin KVKK 5. ve 6. Maddelerinde yer alan hukuka uygunluk şartlarından birini karşılamaması durumunda ilgili kişinin açık rızası alınmaktadır.

8. KİŞİSEL VERİLERİ TOPLAMA YÖNTEMLERİ VE HUKUKİ NEDENLERİ

Kişisel veriler; basılı ve elektronik formlar, sözleşmeler, bilgi sistemleri ve elektronik cihazlar, çevrimiçi platformlar ve bunlar tarafından yaratılan çerezler, üçüncü taraflarca yaratılan takip çerezleri ve ilgili kişi tarafından beyan edilen diğer belgeler vasıtasıyla toplanmaktadır. Bu kapsamda söz konusu verilerin toplanmasının temel nedeni ilgili mevzuatlar olup; Derneğimizin çeşitli faaliyetleri kapsamında KVKK’nın 5/2(c) maddesi gereği bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, KVKK’nın 5/2(ç) maddesi gereği veri sorumlusu olan Derneğimizin hukuki yükümlülüklerini yerine getirebilmesi için zorunlu olması; Dernek faaliyetlerinin yürütülmesi amacıyla KVKK’nın 5/2(e) maddesi gereği hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ayrıca KVKK’nın 5/2(f) maddesi gereği yukarıda sayılan veri sahiplerinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Derneğin meşru menfaatleri için veri işlenmesinin zorunlu olması hukuki nedenleri kapsamında anılan kişisel veriler toplanmakta ve işlenmektedir.

9. KİŞİSEL VERİLERİN AKTARILMASI

9.1. Kişisel Verilerin Yurt İçine Aktarımı

TOTBİD olarak, kişisel verilerin aktarılması konusunda KVKK’da öngörülen düzenlemelere ve KVK Kurulu tarafından alınan kararlara uygun hareket edilmektedir. Mevzuatta yer alan hukuka uygunluk nedenleri saklı kalmak kaydıyla, kişisel veriler ve özel nitelikli veriler ilgili kişinin açık rızası olmadan üçüncü kişilere aktarılmaz.

9.2. Kişisel Verilerin Yurt Dışına Aktarımı

Kişisel veriler kural olarak ilgili kişinin açık rızası olmaksızın yurtdışına aktarılamaz. Ancak, işbu Politika’da yer alan hukuka uygunluk nedenlerinden birisinin varlığı ve yurtdışında bulunan üçüncü kişilerin: -KVK Kurulu’nun ilan ettiği güvenli kabul edilen ülkelerden birinde yerleşik olması veya -Yeterli korumanın olmadığı ülkelerden birinde yerleşik olması halinde TOTBİD ve söz konusu yabancı ülkedeki veri sorumlusunun yeterli bir korumayı yazılı olarak taahhüt etmeleri ve KVK Kurulu’nun izninin bulunması koşuluyla kişisel veriler açık rıza olmaksızın yurtdışına aktarılabilecektir.

9.3. TOTBİD Tarafından Kişisel Verilerin Aktarıldığı Üçüncü Kişiler

Kişisel veriler işbu Politika’da belirtilen kurallar kapsamında yurt içinde aşağıda listelenen kişi kategorilerine aktarılabilir:

TOTBİD yetkilileri,
TOTBİD tedarikçileri,
Hukuken yetkili kamu kurum ve kuruluşları,
Hukuken yetkili özel hukuk kişileri,

Kişi Kategorisi	Açıklama	Aktarım Amacı
TOTBİD yetkilileri	Dernek, şube ve kurulları ile Derneğe bağlı iktisadi işletme yetkililerini ifade eder.	Dernek ve Dernek iktisadi işletmesinin faaliyetlerinin planlanması, yürütülmesi, denetlenmesi ve taleplerin karşılanması amaçlarıyla
TOTBİD tedarikçileri	TOTBİD’in ihtiyaçları doğrultusunda ve talimatlarına uygun olarak sözleşme karşılığı TOTBİD’e hizmet sunan tarafları ifade eder.	Tedarikçiden temin edilecek hizmetin yerine getirilmesi amacıyla
Hukuken yetkili kamu kurum ve kuruluşları	İlgili yasal düzenlemeler kapsamında TOTBİD’den bilgi ve belge almaya yetkili kamu kurum ve kuruluşlarını ifade eder.	Yasal düzenlemenin öngördüğü amaçlarla ve ilgili kamu kurum ve kuruluşlarının bilgi talep etme amacıyla sınırlı olarak kişisel veri paylaşımı
Hukuken yetkili özel hukuk kişileri	Yasal düzenlemeler çerçevesinde TOTBİD’den bilgi ve belge almaya yetkili özel hukuk kişilerini ifade eder.	İlgili özel hukuk kişilerinin hukuki yetkisi dahilinde talep ettiği ve yasal düzenlemenin öngördüğü amaçlarla sınırlı olarak verilerin paylaşımı

10. KİŞİSEL VERİLERİN SAKLANMASI VE İMHASI

Derneğimiz, kişisel verileri işlendikleri amaç için gerekli olan süre ve ilgili yasal mevzuatta öngörülen süre kadar muhafaza etmektedir. Kanunlarda ve sair mevzuatta öngörülen bir saklama süresi bulunmuyorsa, kişisel veriler Derneğimizin Kişisel Veri Saklama ve İmha Politikası’na uygun olarak, o kişisel veriyi işleme amacının gerçekleşmesi için gereken süre kadar saklanmakta, daha sonra periyodik imha süreleri çerçevesinde silinmekte, yok edilmekte veya anonim hale getirilmektedir.

11. KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN ALINAN TEDBİRLER

TOTBİD tarafından, KVKK 12. maddesine uygun olarak, işlemekte olduğu kişisel verilerin hukuka aykırı olarak işlenmesini ve erişilmesi önlemek; verilerin muhafazasını sağlamak ve zarar görmesini önlemek için olanaklar dahilinde uygun ve makul teknik ve idari tedbirleri alınmakta olup; ortaya çıkacak gereklilikler kapsamında yeni idari ve teknik tedbirler de alınması sağlanacaktır. Kişisel verilerin, işlenme ilkelerine uygun olarak işlenmesinin temin edilmesi kapsamında aşağıda sayılan teknik ve idari tedbirleri alınmakta; gerekli denetimler yapılmakta veya yaptırılmaktadır.

11.1. Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak ve Kişisel Verilere Hukuka Aykırı Erişilmesini Önlemek için Alınan İdari Tedbirler

Dernek faaliyet süreçlerinin KVKK ve ilgili ikincil düzenlemelere uyumlu hale getirilmesi için gereken uygulamaların tespit edilerek iç politikalarla düzenlenmesi ve periyodik olarak gözden geçirilerek gerektiğinde güncellenmesi,
Kişisel Verilere erişim yetkisi bulunanlar başta olmak üzere tüm çalışanların kişisel verilerin korunması konusundaki görev ve sorumlulukları ile ilgili olarak bilgilendirilmesi için gerekli aksiyonların alınması,
Çalışanlar için kişisel verilerin korunması hakkında eğitim çalışması yapılarak farkındalık kazanmalarının sağlanması,
Tüm üçüncü taraf ve çalışanlarla yapılan sözleşmelere kişisel verilerin korunmasına ilişkin hükümlerin eklenmesi veya ek sözleşmeler yapılması,
Kişisel verilerin aktarıma konu olduğu durumlarda, kişisel verilerin aktarıldığı kişiler ile akdedilmiş olan sözleşmelere, kişisel verilerin aktarıldığı tarafın veri güvenliğini sağlamaya yönelik yükümlülükleri yerine getireceğine ilişkin kayıtların eklenmesi,
Veri envanteri ile veri işleme şartlarının hangi durumlarda gerçekleştiğinin tespiti,
Veri minimizasyonunun sağlanması,
Veri saklama sürelerinin tespit edilmesi
Kişisel Veri işleme faaliyetlerinin iş birimi bazında takibinin yapılması,
Kişisel veri işlemeye başlamadan önce Derneğimiz tarafından, ilgili kişileri aydınlatma yükümlülüğünün yerine getirilmesi,
KVKK yükümlülüklerine uyumun periyodik olarak denetlenmesi
Özel Nitelikli Kişisel Verilere erişimin daha katı önlemlere tabi tutulması,

11.2. Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak ve Kişisel Verilere Hukuka Aykırı Erişilmesini Önlemek İçin Alınan Teknik Tedbirler

Kişisel verilere erişimlerin kayıt altına alınması
Erişim yetki kısıtlamalarının öngörülmesi,
TOTBİD internet sitesinde, ilgili kişilerin kişisel verileri ile ilgili başvurularının alınması amacıyla gerekli yönlendirmelerin yapılması,
Sistem güvenliğine yönelik süreçlerin geliştirilmesi
Virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılımlar ve donanımların kurulması,
Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliğinin sağlanması,
Erişim log kayıtlarının kullanıcı müdahalesi olmayacak şekilde tutulması,
Sistem güvenliğine yönelik süreçlerin geliştirilmesi,
Veri yedeklemelerinin yapılması
Alınan önlemler konusunda düzenli denetim yapılması,
Teknik konularda gerektiğinde uzman danışmanlardan destek alınması,
Kişisel verilerin korunmasına ilişkin olarak, teknolojinin imkân verdiği ölçüde ve makul teknik önlemler alınması, güncellenmesi ve iyileştirilmesi.

11.3. Kişisel Verilerin Hukuka Aykırı olarak İfşası Durumunda Alınacak Tedbirler

TOTBİD tarafından yürütülen kişisel veri işleme faaliyeti kapsamında, kişisel verilerin hukuka aykırı olarak yetkisiz kimseler tarafından elde edildiğinin tespit edildiği durumlarda, vakit kaybedilmeksizin durum Kurul’a ve ilgili veri sahiplerine bildirilecektir.

12. KİŞİSEL VERİ SAHİPLERİNİN HAKLARI VE BU HAKLARIN KULLANILMASI

12.1. Kişisel Veri Sahibinin Hakları

Kişisel veri sahipleri KVKK madde 11 uyarınca kişisel verilerine ilişkin olarak aşağıda yer alan haklara sahiptirler;

TOTBİD tarafından kişisel verilerinin işlenip işlenmediğini öğrenme,
Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
Kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
Yurt içinde veya yurt dışında kişisel verilerinin aktarıldığı üçüncü kişileri bilme,
Kişisel verilerinin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemlerin kişisel verilerinin aktarıldığı üçüncü kişilere bildirilmesini isteme,
KVKK ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerinin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemlerin kişisel verilerinin aktarıldığı üçüncü kişilere bildirilmesini isteme,
TOTBİD tarafından işlenen verilerinin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
Kişisel verilerinin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.

12.2. Mevzuat Gereği Başvuru Hakkı Kapsamı Dışında Kalan Durumlar

KVK Kanunu’nun 28. maddesi uyarınca, aşağıdaki haller KVK Kanun’u kapsamı dışında tutulduğundan kişisel veri sahiplerinin başvuru haklarını ileri sürmeleri mümkün olmayacaktır:

Kişisel verilerinin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.
Kişisel verilerinin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.
Kişisel verilerinin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.
Kişisel verilerinin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.

KVK Kanunu’nun 28. maddesinin 2. fıkrası uyarınca, zararın giderilmesini talep etme hakkı hariç olmak üzere, aşağıdaki durumlarda da hakların ileri sürülebilmesi mümkün değildir:

Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması,
İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi,
Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturması veya kovuşturma için gerekli olması,
Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.

12.3. Kişisel Veri Sahibinin Haklarını Kullanması

Kişisel veri sahipleri, Kişisel Verileri Koruma Kurulu’nun belirlediği diğer yöntemler saklı kalmak üzere, kişisel verilerine ilişkin hak taleplerini, kimliklerini doğrulayıcı belgelerle (nüfus cüzdanı kopyası vb.) totbid@totbid.org.tr elektronik posta adresine elektronik postayla veya “Bayraktar Mahallesi İkizdere sok. No: 21/12 G.O.P.-Çankaya/Ankara” adresine noter vasıtasıyla ya da elden iletebileceklerdir.

Veri sahipleri, “Veri Sahibi Başvuru Formu”na Derneğimizin www.totbid.org.tr adresli internet sitesinden ulaşabilirler.

Başvuru sırasında veya başvuru değerlendirilirken ek bilgi ve belge talep edilmesi söz konusu olabilir.

Kişisel veri sahibinin, Politikanın 13.1. maddesinde yer alan haklara ilişkin talebini usule uygun olarak iletmesi durumunda, TOBİD talebin niteliğine göre en kısa sürede ve en geç 30 (otuz) gün içinde ilgili talebi ücretsiz olarak sonuçlandıracaktır. Ancak, işlemin ayrıca bir maliyet gerektirmesi halinde, Kurul tarafından belirlenen tarife uyarınca ücret alınabilecektir.

Derneğimiz, Başvuru Sahibi’ne yazılı olarak veya elektronik ortamda vereceği cevapla başvuruyu kabul edebileceği gibi; kişisel veri sahibinin başvurusu aşağıda belirtilen durumlarda gerekçesi açıklanarak reddedilebilecektir:

Diğer kişilerin hak ve özgürlüklerini engellemesi
Orantısız çaba gerektirmesi
Başvurunun haklı bir nedene dayanmaması
Başvurunun ilgili mevzuata aykırı bir istek içermesi
Başvuru usulüne uyulmaması
Bilginin kamuya açık bir bilgi olması
Başkalarının gizliliğini tehlikeye atması
KVKK uyarınca kapsam dışında kalan hallerden birinin mevcut olması

13. POLİTİKANIN YÜRÜRLÜĞÜ VE GÜNCELLENMESİ

TOTBİD Yönetim Kurulu tarafından onaylandığı andan itibaren yürürlüğe giren işbu Politika herhangi bir bildirimde bulunulmaksızın, yılda en az bir kez gözden geçirilir ve ihtiyaç halinde gerekli olan bölümler güncellenir.