top of page

PATERN KİŞİSEL GELİŞİM KURSU

KİŞİSEL VERİLERİN KORUNMASINA YÖNELİK AYDINLATMA METNİ

1. Amaç

 

Bu politika Patern tarafından işlenen kişisel verilerin güvenliğinin sağlanmasına yönelik olarak kurum içinde yapılan çalışmaları ve alınan tedbirleri açıklar ve 24.03.2016 tarih ve 6698 sayılı Kişisel Verilerin Korunması Kanunu’na uygun hareket edilmesi için yapılan uygulamalar hakkında bilgi verir.

 

2. Kapsam

 

Politika, Patern tarafından kimliği belirli veya belirlenebilir gerçek kişilere ilişkin işlenen verilerin tamamının korunmasına yönelik yapılan çalışmaları kapsar. İşlenen veri türleri ve veri sahiplerine ilişkin yapılan tasnifler politikanın sonunda ek olarak sunulmuştur.

 

3. Tanımlar

 

Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.

 

Özel nitelikli kişisel veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.

 

Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.

 

Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi,

 

4. Giriş

 

Patern , öğrenicilerin, velilerin ve çalışanlarının kişisel bilgileri başta olmak üzere tüm kişisel verilerin işlenme ve korunma süreçleri konusunda son derece hassas davranır. Bu çerçevede, kanunda belirtilen kişisel verilerin işlenmesi ilkelerine bağlı kalarak verilerin hukuka aykırı olarak işlenmesi, verilere hukuka aykırı olarak erişilmesi ve verilerin muhafazasının sağlanması için gereken tüm tedbirleri alır, kurum içinde gereken tüm düzenlemeleri yapar.

Patern veri sahiplerini verilerin işlenmesi konusunda bilgilendirmek için kanunda ön görülen yükümlülüklerini tam olarak ve zamanında yerine getirir.

5. Kişisel verilerin işlenmesine yönelik ilkeler

 

Kurumumuz kişisel verilerin işlenmesinde, ilgili kanunun 4. Maddesinde belirtilen ilkelere uygun hareket eder. Kanunda belirtilen ilkeler şunlardır;

 

a) Hukuka ve dürüstlük kurallarına uygun olma: Patern kişisel verileri hukuk kurallarına uygun ve herhangi bir yanıltmaya yol açamayacak şekilde işler.

 

b) Doğru ve gerektiğinde güncel olma: Veriler veri sahibinden elde edildiği şekilde ve doğru olarak işlenir. Kurumumuz, veri sahiplerinin gerektiğinde kurumla paylaştıkları verileri güncelleyebilmeleri için gerekli imkânları sağlar.

 

c) Belirli, meşru ve açık amaçlar için işleme: Veri sorumlusu olarak Patern tarafından işlenen veriler kurumun eğitim faaliyetlerine hizmet etmek ve paydaşlar için fayda yaratmak üzere, veri sahiplerine işlenme amaçları şeffaf bir biçimde açıklanarak işlenir.

 

d) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma: İşlenen veriler veri sahiplerine belirtilen ve/veya mevzuattan kaynaklanan işlenme amaçları dışında kullanılmaz.

 

e) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme: Kurumumuz tarafından işlenen kişisel veriler mevzuatta uygun görülen süre sona erdiğinde silinir, imha edilir veya anonim hale getirilir. Bununla birlikte mevzuatta bir süre verilememişse veriler işlenme amaçları ortadan kalktığında kurum için prosedürlere uygun olarak silinir, imha edilir veya anonimleştirilir. Verilerin kullanım süreleri ve ortadan kaldırılma yöntemleri kurumumuzun ilgili bölümleri tarafından yazılı düzenlemelerle belirlenir.

6. Kişisel verilerin işlenme şartları

 

Kişisel veriler ve özel nitelikli kişisel veriler veri sahibinin rızası alınmadan Patern tarafından işlenmez. Kişisel verilerin işlenmesi ile ilgili veri sahibinin rızasının aranmayacağı durumlar ilgili kanunun 5. Maddesinde belirtilmiştir;

 

a) Kanunda açıkça öngörülmesi

 

b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.

 

c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması

 

d) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması

 

e) İlgili kişinin kendisi tarafından alenileştirilmiş olması

f) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması

 

g) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Özel nitelikli kişisel verilerin işlenmesi ile ilgili kurallar kanunun 6.maddesinde belirtilmiştir;

 

Özel nitelikli kişisel veri tanımı içinde yer alan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

 

Patern özel nitelikli kişisel verilerin işlenmesinde kanunda belirtilen kurallara uygun hareket eder ve ilgili verilerin güvenliği için gerekli tedbirleri alır.

7. Kişisel verilerin işlenme amaçları

 

Patern kanunda belirtilen kişisel veri işleme düzenlemelerini dikkate alarak, aşağıda yer verilen amaçlarla kişisel veri işlemektedir;

  • Aday çalışan değerlendirmesi

  • Çalışanların işe giriş işlemlerinin yapılması

  • Çalışanların performanslarının ve verimliliklerinin değerlendirilmesi

  • Kurum operasyonlarının daha etkin ve verimli olarak yapılmasının sağlanması

  • Operasyonların maliyetlerinin azaltılması, kalitenin artırılması veya korunması

  • Kanunlarda belirtilen ve kurumumuzdan devlet kurumları tarafından talep edilen bilgilerin toplanması

  • Öğrencilerin kayıtlarının yapılması

  • Öğrencilerin başarı durumlarının izlenmesi, başarının artırılması için çalışmalar yapılması

  • Çalışan ve öğrenci sağlığının korunması

  • Çalışan, öğrenci, ziyaretçi ve veli güvenliğinin sağlanması

  • Eğitim, öğretim faaliyetlerinin geliştirilmesi

  • Öğrenci davranışlarının geliştirilmesi

  • Pazarlama faaliyetlerinin yürütülmesi

  • Veli ve aday velilere destek hizmetlerin sağlanması

  • Veli şikâyetlerinin değerlendirilmesi ve yönetilmesi ile ilgili faaliyetler

  • Velilerin öğrenci kaydı sırasında yaptıkları ödeme planlarının takibi

  • Stratejik planlama çalışmalarının yürütülmesi

  • Kariyer gelişimi süreçlerinin planlanması ve yönetimi

  • Çalışan memnuniyetinin değerlendirilmesi

  • Veli / öğrenci memnuniyetinin değerlendirilmesi

  • Mezunlarla ilgili etkinlik düzenlenmesi

  • Şirket operasyonlarının ve finansal süreçlerin denetlenmesi ve raporlanması

8. Kişisel verilerin aktarılması

8.1. Kişisel verilerin aktarımına ilişkin genel kurallar

Kişisel veriler ilgili kişinin (Veri sahibi) açık rızası olmaksızın aktarılamaz (Paylaşılamaz). Bununla birlikte söz konusu kuralın istisnaları ilgili kanun maddesinde belirtilmiştir. Bu çerçevede, Patern ilgili kişinin açık rızasını alarak veya aşağıda belirtilen hallerde kişisel veri aktarımı yapabilmektedir.

  • Kanunlarda açıkça öngörülmesi.

  • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.

  • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.

  • Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.

  • İlgili kişinin kendisi tarafından alenileştirilmiş olması.

  • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.

  • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Özel nitelikli kişisel verilerin aktarılması

 

Özel nitelikli kişisel verilerin aktarımında kanunda belirtilen aşağıdaki maddeler dikkate alınır;

 

  • Yeterli önlemler alınmak kaydıyla, kişilerin sağlık ve cinsel hayatı dışındaki özel nitelikli kişisel verilerin aktarımı için yukarıda belirtilen hallerden birinin bulunması.

  • Sağlık ve cinsel hayat ile ilgili bilgilerin paylaşılması ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın mümkün olabilir.

8.2. Kişisel verilerin yurtdışına aktarımı

Kurumumuz, ilgili kişinin açık rızası alınmaksızın kişisel verileri yurtdışına aktarmaz. Bununla birlikte, kanunda belirtilen ve bu politikanın 6 ve 8.1 maddelerinde yazılı olan durumlara ilave olarak aşağıda belirtilen koşulların sağlanması halinde veri sahibinin rızası olmaksızın kişisel veriler yurtdışına aktarılabilmektedir.

 

Kişisel verilerin aktarılacağı yabancı ülkede;

 

  • Yeterli koruma bulunması,

  • Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması gerekir.

 

Patern ’nda veri aktarımı yapılacak olan ülkelere karar verilirken Kişisel Verileri Koruma Kurulu tarafından belirlenen ‘yeterli koruma olan ülkeler’ listesi dikkate alınmaktadır.

8.3. Patern ’nın veri aktarımı yaptığı taraflar

Patern kanunlara ve ilgili yasal düzenlemelere uygun olarak aşağıda yer verilen taraflarla, belirtilen amaçlar dahilinde kişisel veri paylaşabilmektedir.

 

İş ortakları: Patern ’nın faaliyet alanı kapsamında hizmet sağlama konusunda beraber iş yaptığı kurum ve kişiler

 

Örnekler; Öğrenci güvenliğinin sağlanması için hizmet alınan güvenlik şirketi. Servis hizmetlerinin sağlanabilmesi için yapılan servis şirketi.

 

Tedarikçiler: Patern faaliyetlerinin sürdürülmesi ve hedeflenen kalitenin sağlanabilmesi için kurum tarafından mal veya hizmet alınan kurum ve kişiler.

 

Örnekler; yayın evleri.

 

Şirket Yetkilileri: Patern tarafından verilen hizmetlerin kalitesinin istenen seviyede tutulması, kurum stratejilerinin belirlenmesi, üst seviyedeki kararların alınmasında rol oynayan yöneticiler ile bu yöneticilere süreçlerde destek veren diğer kurum çalışanları.

 

Örnekler; VL Eğitim Yatırımları Kamu Kurum ve Kuruluşları: Kanunlarla belirlenen sınırlar içinde Patern’nden bilgi alma yetkisi olan kurum ve kuruluşlar. Örnekler: Milli Eğitim Bakanlığı, Maliye Bakanlığı.

9. Kişisel verilerin silinmesi, imha edilmesi veya anonim hale getirilmesi

Patern işlediği kişisel verilerin işlenme amaçları ortadan kalktığında verileri siler, imha eder veya anonim hale getirir. Veriler gelecekte muhtemel kullanılma ihtimallerine karşı işlenme amaçları ortadan kalkmış olmasına rağmen tutulmaz. Bu çerçevede, kurum içinde işlenen tüm kişisel verilerin envanteri oluşturulur ve her bir veri türünün ortadan kaldırılması için geçecek olan süreler ve/veya verinin işlenmesini gerektiren amacın sona erdiği durum belirlenir. Sürenin sonuna gelindiğinde, veriler aşağıda belirtilen yöntemlerden biriyle silinir.

 

Öğrencilerin kimlik bilgileri ve adresleri silinerek öğrenci verileri anonimleştirilir.

 

İşten ayrılan çalışanların kimlik bilgileri ve adresleri silinerek çalışan verileri anonimleştirilir.

 

Tedarikçi verileri tamamen silinir.

10. Kişisel veri sahibinin hakları ve bilgilendirilmesi

10.1. Kişisel veri sahibinin hakları

 

İlgili kanun kişisel veri sahiplerine aşağıda yer verilen hakları tanımaktadır;

  • Kişisel veri işlenip işlenmediğini öğrenme,

  • Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,

  • Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,

  • Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,

  • Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,

  • Kanunda öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,

  • Silinen / yok edilen veya değişikliğe uğrayan verilerin, verinin aktarıldığı üçüncü kişilere bildirilmesini talep etme,

  • İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,

  • Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.

10.2. Kişisel veri sahiplerinin bilgi taleplerinin karşılanması

Kişisel veri sahipleri 10.1 maddesinde belirtilen haklarını kullanmak üzere aşağıda belirtilen yöntemleri kullanarak Patern’nden bilgi talep edebiliriler.

  • info@vnlpartners.com elektronik posta adresine taleplerini e-posta olarak iletebilirler.

  • İletişim bilgisi vererek www.patern.com.tr web sitesinde yer alan kurum adresine talep dilekçesi gönderebilirler.

Kurumumuzdan talep edilen bilgiler ilgili mevzuat çerçevesinde değerlendirilerek veri sahiplerine en geç 30 gün içinde yanıt verilecektir. Yanıt verilmesini engelleyen bir durum söz konusu olduğunda, talep eden tarafından kurumla paylaşılan iletişim bilgileri üzerinden talep sahibi ile iletişime geçilerek gerekli bilgilendirme yapılır.

11. Veri güvenliğinin sağlanması

Patern’de, 6698 sayılı kanunun 12. Maddesinde yer alan veri güvenliğine ilişkin yükümlülüklerini yerine getirmek amacıyla aşağıdaki uygulamalar yapılmaktadır;

  • Kişisel verilerin miktarı ve kullanım alanları olabildiğince sınırlanmakta ve çalışanlara kanun uygulamaları ile ilgili eğitimler verilmektedir.

  • KVKK ile ilgili politika ve prosedürler açık, net bir şekilde belirlenmiştir.

  • Verilerin önemli bir bölümü bulut uygulamaları üzerinde yetki kısıtlaması teknolojileri kullanılarak saklanmaktadır.

  • Kişisel verilerin saklanması, işlenmesi ve paylaşılması süreçleri ile ilgili olarak kurum içinde düzenli denetimler yapılmaktadır.

EKLER

 

Veri / veri sahibi sınıflaması ve veri içeriği

 

Kimliği belirli veya belirlenebilir bir gerçek kişiye ilişkin, tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen, aşağıdaki tabloda yer alan;

bottom of page