Gizlilik Politikası
KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI
A- POLİTİKA HAKKINDA
Günyüzü Derneği (“Günyüzü” veya “Dernek”) olarak kişisel verilerin korunmasına büyük bir önem veriyoruz. Dernek olarak 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”)[1], Kanun’a dayalı olarak hazırlanan ikincil düzenlemeler ve Kişisel Verileri Koruma Kurulu’nun (“Kurul”) kararları doğrultusunda hareket ediyoruz.
Bu Kişisel Verilerin Korunması ve İşlenmesi Politikası (“Politika”) Derneğimizin kişisel veri işlediği süreçlerde dikkate aldığı kuralların açıklanması amacıyla hazırlanmıştır.
Politika ile, kişisel verilerini işlediğimiz dernek üyelerimizi, sponsorlarımızı, internet sitesi ziyaretçilerimizi, gönüllülerimizi, iş ortaklarımızın yetkilileri ile çalışanlarını bilgilendirmeyi amaçlıyoruz.
B- POLİTİKANIN KAPSAMI
Bu Politika, kişisel verilerin işlenmesi ve korunması ile ilgili olarak Günyüzü tarafından yönetilen tüm kişisel veri işleme faaliyetleri için geçerlidir. Hazırladığımız bu Politika, Derneğimizin internet sitesinde yayımlanmaktadır. Politika içeriğinde Kanun kapsamındaki yükümlülüklerimiz ile ilgili mevzuat kapsamında uymamız gerekli olan usul ve prensiplere yer verilmektedir.
C- POLİTİKADA YER ALAN TANIMLAR
Politikada yer verilen tanımlar ve bunların açıklamaları aşağıda belirtilmektedir:
1. Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
2. İlgili Kişi/Veri Sahibi: Kişisel verisi işlenen gerçek kişi veya kişiler.
3. İnternet Sitesi: https://www.gunyuzu.org/ adresinden ulaşılabilen internet sitesi.
4. İnternet Sitesi Ziyaretçileri: Derneğimizin internet sitesini ziyaret eden kişiler.
5. Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.
6. Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
7. Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
8. Kurum: Kişisel Verileri Koruma Kurumu.
9. Kurul: Kişisel Verileri Koruması Kurulu.
10. Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.
11. Üye: Dernek tüzüğünde yer alan kriterlere göre belirlenmiş olan asil, onursal veya akademik üyeleri.
12. Çalışan: Dernek faaliyet ve amaçlarına uygun olarak gönüllülük esasına dayalı olarak çalışanları.
13. Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi.
14. Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi.
15. Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi.
D- KİŞİSEL VERİ İŞLEME İLKELERİ
Kanun’un 4. maddesinde kişisel veri işleme ilkeleri yer almaktadır. Derneğimiz kişisel verileri işlerken Kanun’da sayılan veri işleme ilkelerine uygun hareket etmektedir.
İlgili veri işleme ilkelerine aşağıda başlıklar altında yer verilmektedir:
1. Hukuka ve Dürüstlük Kurallarına Uygun Olma
Derneğimiz, kişisel verilerin işlenmesinde hukuksal düzenlemelerle getirilen ilkeler ile genel güven ve dürüstlük kuralına uygun hareket etmektedir. Derneğimiz bu kapsamda kişisel verilerin işlenmesinde orantılılık gerekliliklerini dikkate almakta, kişisel verileri işlenme amacının gerekleri dışında kullanmamaktadır.
2. Doğru ve Gerektiğinde Güncel Olma
Derneğimiz, kişisel veri sahiplerinin temel hak ve özgürlüklerini ön planda tutmaktadır. Derneğimiz aynı zamanda veri sahiplerinin hak ve özgürlüklerine zarar vermeyecek biçimde Dernek meşru menfaatlerini de dikkate alarak işlediği kişisel verilerin doğru ve güncel olmasını sağlamaktadır. Kişisel verilerin doğru ve gerektiğinde güncel olmasına yönelik tüm gerekli tedbirleri almaktadır.
3. Belirli, Açık ve Meşru Amaçlar İçin İşlenme
Derneğimiz, kişisel veri işleme amaçlarını meşru ve hukuka uygun olacak biçimde açık ve kesin olarak belirlemektedir. Derneğimiz, kişisel verileri derneğin amaçları ve faaliyetleri için gerekli olan kadar işlemektedir. Kişisel veriler Derneğimiz tarafından işlenme amacı dışında bir işleme faaliyetine konu edilmemektedir. Derneğimiz her bir veri işleme faaliyetinin öncesinde veri sahiplerini Kanun’un 10. maddesi ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’de[2] belirtilen kurallar çevresinde bilgilendirmekte ve kişisel verilerini işleme amaçlarını açıkça ortaya koymaktadır.
4. İşleme Amaçlarıyla Bağlantılı, Sınırlı ve Ölçülü Olma
Derneğimiz, kişisel verileri belirlenen amaçların gerçekleştirilebilmesine elverişli bir biçimde işlemekte ve amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verileri işlememektedir. Kişisel veri işleme faaliyetinin başında amacın gerçekleştirilmesi için ihtiyaç duyulan kişisel verileri tespit etmekte ve ihtiyaç duyulmayan verileri hiç toplamamaktadır.
5. İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Edilme
Derneğimiz, kişisel verileri ancak ilgili mevzuatta belirtildiği veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. Bu kapsamda, Derneğimiz öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmakta, bir süre belirlenmemişse kişisel verileri işlendikleri amaç için gerekli olan süre kadar saklamaktadır. Sürenin bitimi veya işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler Derneğimiz tarafından Kanun’a ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’e[3] uygun olarak silinmekte, yok edilmekte veya anonim hale getirilmektedir.
E- KİŞİSEL VERİLERİN İŞLENME ŞARTLARI
Kanun’un 5. ve 6. maddelerinde kişisel verilerin işlenme şartları yer almaktadır. Bu işleme şartları, kişisel veri işleme faaliyetinin hukuki sebebini ifade etmektedir. Derneğimiz, kişisel verileri işlerken bu veri işleme şartlarına uygun hareket etmektedir. Derneğimiz aydınlatma yükümlülüğünü yerine getirirken kişisel verilerin hangi veri işleme şartına/hukuki sebebe dayandığını açıkça belirtmekte ve veri sahiplerinin veri işleme faaliyetimizin yasallığı hakkında bilgi sahibi olmasını sağlamaktadır.
Kanun’un 5. maddesinde yer alan veri işleme şartları aşağıdaki gibidir:
• İlgili kişinin açık rızasının bulunması,
• Kanunlarda açıkça öngörülmesi,
• Kişisel verinin işlenmesi ilgili kişi veya başkasının hayatı veya beden bütünlüğünün korunması için zorunlu ise ve ilgili kişi fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda ise veya rızasına hukuki geçerlilik tanınmıyorsa,
• Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
• Bir hakkın tesisi, kullanılması veya korunması için işlenmesi,
• Derneğimizin hukuki yükümlülüklerini yerine getirmesi için kişisel veri işlemenin zorunlu olması,
• Kişisel veriler, kişisel veri sahibi tarafından alenileştirilmiş ise,
• İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Derneğimizin meşru menfaatleri için veri işlenmesinin zorunlu olması.
Yukarıda sayılan kişisel veri işleme şartlarından “ilgili kişinin açık rızasının bulunması” şartına yalnızca diğer maddelerde yer alan veri işleme şartlarından biri bulunmuyorsa dayanılmaktadır. Örneğin, kişisel verilerin işlenmesi “bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” veri işleme şartına dayanıyorsa, Derneğimiz söz konusu kişisel verileri işlemek için veri sahiplerinin açık rızasına dayanmamaktadır.
Kanun’un 5. maddesi kişisel verilerin işlenme şartlarını düzenlerken, Kanun’un 6. maddesi özel nitelikli kişisel verilerin işlenme şartlarını düzenlemektedir. Özel nitelikli kişisel verilerin hangi veriler olduğu Kanun’da açıkça belirtilmiştir. Bu tür verilerin taşıdığı hassasiyet nedeniyle veri işleme şartları da kişisel verilere göre farklılık arz etmektedir.
Kanun’un 6. maddesinde yer alan ve Derneğimizin özel nitelikli kişisel verileri işlerken dayandığı veri işleme şartları aşağıdaki gibidir:
• Sağlık ve cinsel hayat dışındaki tüm özel nitelikli kişisel veriler, kural olarak veri sahibinin açık rızası bulunması halinde işlenmektedir. Ancak kanunlarda açıkça öngörülen hallerde veri sahibinin açık rızası olmaksızın da işlenebilmektedir. Eğer bu şekilde bir kanunda öngörülme hali bulunmuyorsa, söz konusu kişisel verilerin işlenebilmesi için veri sahibinin açık rızasının olup olmadığı sorulmaktadır.
• Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler, kural olarak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amaçlarıyla, sır saklama yükümlülüğü altında olan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenebilir. Sayılan amaçlar dahilinde sır saklama yükümlülüğü bulunmayan kişiler tarafından işlenecekse mutlaka veri sahibinin açık rızasının bulunması aranmaktadır. Yukarıda belirtilen bir veri işleme faaliyeti yürütülmüyorsa, belirtilen özel nitelikli kişisel verilerin işlenebilmesi için veri sahibinin açık rızasının olup olmadığı sorulmaktadır.
F- KİŞİSEL VERİLERİN AKTARILMASI
Derneğimiz, elde ettiği kişisel verileri yukarıda belirtilen kişisel veri işleme amaçları doğrultusunda üçüncü kişilere aktarabilmektedir. Derneğimizin gerçekleştirdiği veri aktarımları her bir kişisel veri işleme faaliyetine göre farklılık arz etmektedir. Derneğimiz aydınlatma yükümlülüğü kapsamında her bir kişisel veri işleme faaliyeti kapsamında kişisel verilerin hangi üçüncü kişilere aktarılacağını aydınlatma metinleri uyarınca veri sahiplerine açıklamaktadır.
Derneğimiz, kişisel verileri üçüncü taraflara aktarırken Kanun’un 8. ve 9. maddelerinde yer alan kurallara ve Kurul tarafından belirlenmiş olan ek düzenlemelere uygun davranılmasına yüksek önem göstermektedir. Derneğimiz Kanun’da ve ilgili tüm düzenlemelerde yer alan kurallara uygun hareket etmektedir. Kişisel verilerin aktarılması süreçlerinde kişisel verinin niteliğine uygun gerekli güvenlik önlemlerini alarak aktarmaktadır.
Derneğimiz tarafından elde edilen kişisel veriler, kişisel verilerin aktarılmasının veri işlene amacını yerine getirebilmek için gerekli olduğu hallerde aşağıdaki veri işleme şartlarının bulunması halinde üçüncü taraflara aktarılabilmektedir (bkz. Başlık E/ Bölüm 1):
• İlgili kişinin açık rızasının bulunması,
• Kanunlarda açıkça öngörülmesi,
• Kişisel verinin işlenmesi ilgili kişi veya başkasının hayatı veya beden bütünlüğünün korunması için zorunlu ise ve ilgili kişi fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda ise veya rızasına hukuki geçerlilik tanınmıyorsa,
• Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
• Bir hakkın tesisi, kullanılması veya korunması için işlenmesi,
• Derneğimizin hukuki yükümlülüklerini yerine getirmesi için kişisel veri işlemenin zorunlu olması,
• Kişisel veriler, kişisel veri sahibi tarafından alenileştirilmiş ise,
• İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Derneğimizin meşru menfaatleri için veri işlenmesinin zorunlu olması.
Yukarıda sayılan aktarım şartlarından “ilgili kişinin açık rızasının bulunması” şartına yalnızca diğer maddelerde yer alan aktarım şartlarından biri bulunmuyorsa dayanılmaktadır. İlgili kişinin açık rızasının bulunması dışındaki şartlardan biri bulunuyorsa, aktarım söz konusu şartlardan birine dayalı olarak gerçekleştirilmektedir. Eğer söz konusu aktarım için diğer aktarım şartlarından hiçbirine dayanılamıyorsa, bu durumda veri sahibinin açık rızasına başvurulmaktadır.
Özel nitelikli kişisel verilerin aktarılması için, özel nitelikli kişisel verilere özgü aktarım şartlarından birinin bulunup bulunmadığı dikkate alınmaktadır (bkz. Başlık E/Bölüm 2). Özel nitelikli kişisel verilerin aktarım şartlarından biri mevcutsa, bu durumda özel nitelikli kişisel veriler söz konusu veri aktarım şartı dikkate alınarak aktarılabilmektedir. Aksi durumda aktarım için veri sahibinin açık rızasına başvurulmaktadır.
G- KİŞİSEL VERİLERİN GÜVENLİĞİNİN SAĞLANMASI İÇİN ALINAN TEDBİRLER
Derneğimiz, fiziki ve elektronik kayıt ortamlarında, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin aktarıldığı süreçlerde güvenli bir şekilde aktarılmasını sağlamak ve kişisel verilerin güvenli bir şekilde muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almaktadır. Derneğimiz gerekli teknik ve idari tedbirleri alırken kişisel verilerin niteliğini, saklandığı kayıt ortamını, kişisel verilerin aktarılacağı vasıtayı, Dernek’in teknik imkanlarını, kaynaklarını ve kişisel verilerin ne derecede güvenlik önlemleri gerektirdiğini göz önünde bulundurmaktadır.
Kanun’da ve bu Politika hükümlerine aykırı şekilde üçüncü kişilere açıklanmaması, kişisel verilerin işlenme amacının dışında bir amaçla kullanılmaması ve kişisel verilerin Kanun’a uygun olmayan yollarla başkaları tarafından elde edilmesinin önüne geçilebilmesine yönelik olarak Derneğimiz teknolojik imkân ve uygulama maliyetleri çerçevesinde tüm teknik ve idari tedbirler alınmaktadır.
H. İLGİLİ KİŞİNİN HAKLARI
Kanun’un 11. maddesi “ilgili kişi haklarını” düzenlemektedir. Kişisel verisi Günyüzü tarafından işlenen tüm gerçek kişiler, Kanun uyarınca Derneğimize başvurma ve Kanun’da sayılmış yasal haklarını kullanma hakkına sahiptir.
Kanun’un 11. maddesinde sayılan haklara aşağıda yer verilmiştir:
• Günyüzü tarafından kişisel verilerinizin işlenip işlenmediğini öğrenme,
• Kişisel verileriniz işlenmiş ise hakkında bilgi talep etme,
• Kişisel verilerinizin işleme amaçları ve kişisel verileri amacına uygun kullanılıp kullanılmadığını öğrenme,
• Kişisel verilerinizin yurt içi ve yurt dışında aktarıldığı üçüncü kişileri öğrenme,
• Eksik veya yanlış işlenmiş kişisel verilerin düzeltilmesini ve bu işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
• Kişisel verilerinizin Kanun ve ilgili mevzuata uygun olarak işlenmiş olmasına rağmen, kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde verilerinizin silinmesini veya • yok edilmesini isteme ve bu işlemin kişisel verilerinizin aktarıldığı üçüncü kişilere bildirilmesini isteme,
• İşlenilen kişisel verilerinizin, münhasıran otomatik sistemler vasıtasıyla analiz edilmesi aleyhinize bir sonuç ortaya çıkarmış ise itiraz etme,
• Kişisel verilerinizin Kanun’a aykırı olarak işlenmesi sebebiyle zarara uğramanız hâlinde zararın giderilmesini talep etme.
İlgili kişileri Kanun’un 11. maddesindeki haklarını kullanmak için, Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’de belirtilen yöntemleri tercih edebilecektir.
İ- POLİTİKANIN GÜNCELLENMESİ
İşbu Politika, Günyüzü tarafından ihtiyaç duyuldukça gözden geçirilir ve gerektiğinde güncellenir. İlgili mevzuatta yapılan değişiklikler nedeniyle Politika güncellenmemiş olsa bile, ilgili mevzuatta meydana gelen değişiklikler derhal uygulanacaktır.
Son Güncellenme Tarihi: 21/09/2022
[1] Resmî Gazete Tarihi: 07.04.2016 Resmî Gazete Sayısı: 29677.
[2] Resmî Gazete Tarihi: 10.03.2018 Resmî Gazete Sayısı: 30356
[3] Resmî Gazete Tarihi: 28.10.2017 Resmî Gazete Sayısı: 30224