PERSONAL DATA PROTECTION AND PRIVACY POLICY
1. PURPOSE
As Istanbul International Community School Eğitim ve Öğretim Hizmetleri Anonim Şirketi (“IICS”), we place great importance on protection of personal data. In this context, we pay attention to lawful processing and protection of personal data belonging to IICS employees, visitors, sponsors, business partners, executives, prospective employees, interns, suppliers, employees and executives of cooperating institutions/sponsors/suppliers, third parties, and other people including but not limited to those listed herein (hereinafter, listed people shall be collectively referred to as “Data Subject”).
This Personal Data Protection and Privacy Policy(“Policy”) was prepared to process the personal data, which will be processed during the conduct of commercial and administrative activities of IICS (that inherently include educational activities), in accordance with the legislative provisions and the law, particularly the Law no. 6698 on Protection of Personal Data (“LPDP”). In addition, the Policy aims to ensure that lawful processing of personal data is formulated as a policy and transparency is provided by informing Data Subjects about the personal data processed by our Company. In this context, as IICS, we process personal data pursuant to the following principles and rules as described in detail in the Policy:
- In accordance with article 4 of LPDP, personal data are processed in compliance with the law and the rules of integrity, for certain, clear and legitimate purposes; accurately kept in an up-to-date manner within our Company on physical and electronic media; and stored in connection with the purpose of processing, in a limited and prudent manner, as long as stipulated in the applicable legislation or required for the purpose of processing.
- Necessary administrative and technical measures regulated in article 12 of the LPDP are taken.
- In compliance with article 20 of the Constitution and article 10 of the LPDP, during the collection of personal data, Data Subjects are informed and notified about the processing purpose of personal data, purpose of transferring and recipients of processed personal data, method of and legal grounds for collection of personal data, as well as the rights of the Data Subjects within the scope of article 11 of LPDP.
- If required in accordance with article 20 of the Constitution and article 5 of the LPDP, explicit consents of Data Subjects are obtained with respect to the processing of personal data.
- Our company pays attention to processing and protection of sensitive personal data in accordance with article 6 of the LPDP.
- Methods required for the Data Subjects to exercise their rights regulated in article 11 of the LPDP are being implemented within our Company.
- Our company acts in compliance with the legislation and the PDP Board regulations in transfer of personal data to domestic or overseas third parties pursuant to the requirements of the purpose of processing of personal data in accordance with articles 8 and 9 of the LPDP.
- Pursuant to article 7 of the LPDP and the provisions of the Regulation on Deletion, Destruction or Anonymization of Personal Data, our Company delete, destroys or anonymizes personal data by itself or upon request of the Data Subject in case of the cessation of reasons that require the processing of personal data. In this context, a Personal Data Retention and Destruction Policy was prepared.
2. SCOPE
The Policy covers all personal data processed by automatic or non-automatic means, which are part of any data recording system, in respect of the Data Subjects. Principal methods for processing of personal data by IICSinclude printed documents, telephone, web site, online services, e-mail, social media and similar means, as well as verbal, written or electronic platforms.
3. IMPLEMENTATION and EFFECT
Processing and protection of personal data shall be primarily regulated within the scope of the LPDP and other effective legislation. As the legislative provisions may be amended over time, our Company might make changes to update the Policy as necessary. As IICS, we accept that in case of an discrepancy between effective legislation and the Policy, effective legislation shall be applicable.
The Policy, drawn up by IICS, took effect on 12/06/2019. The Policy is published on the web site of our Company www.iics.k12.trand communicated to the Data Subjects upon their request. In case of an amendment to the Policy, effective date and relevant articles of the Policy shall be updated accordingly. Table of updates is provided in Annex – 2.
4. OUR PRINCIPLES
Our Company processes personal data pursuant to the following principles regulated in article 4 of the LPDP.
a. Processing in Compliance with the Law and the Rules of Integrity
Our company acts pursuant to the rule of integrity, the LPDP, and other applicable legislation in processing of personal data. Personal data is by no means collected and processed without informing the Data Subject. Personal data is not used in a manner that may lead to discrimination against the Data Subject or beyond the collection purpose of personal data. Personal data is processed in a prudent manner and in proportion to the purpose of its collection.
b. Ensuring that Personal Data is Accurate and Up-To-Date as Necessary
Our company ensures that the personal data, processed in consideration of fundamental rights of Data Subjects and its legitimate purposes, is accurate and up-to-date. Accordingly, it takes necessary measures. In this context, it established a system to ensure that the information of Data Subjects is accurate and up-to-date.
c. Processing with Certain, Clear and Legitimate Purposes
Our Company processes personal data for legitimate purposes in compliance with the rule of integrity. Accordingly, it pays attention to the principle of certainty and clarity in legal texts (explicit consents, disclosures, etc.) prepared within the scope of the law on processing of personal data. Clear and explicit statements that can be understood by the Data Subject are preferred over legal and technical terminology that can be understood only by experts in the field. Therefore, Data Subjects can easily understand the purpose for processing of their personal data. Our Company notifies the Data Subject about the purpose for processing of the personal data at the time of processing.
d. Being Connected to the Purpose of Processing, Limited and Prudent
Our Company processes personal data only for certain and valid purposes, and it does by no means process personal data for purposes that are not existent at the time of processing personal data and that are deemed to have the possibility of existing in the future. e.g. personal data processed for sales purposes is not used later for marketing purposes, and the Data Subject is informed if such personal data is to be processed for different purposes. In addition, personal data that is found out to be beyond the purpose is not processed.
e. Retention As Long As Stipulated in the Applicable Legislation or Required for the Purpose of Processing
Our Company retains personal data only as long as stipulated in the applicable legislation or required for the purpose of their processing. Initially, it is determined whether the legislation stipulates a period for retaining personal data. If such a period is determined, our Company acts in compliance with such period; however, in the absence of such a determination, our Company retains personal data as long as required for the purpose of their processing. In case the period expires or the reasons that require processing are not available anymore, our Company deletes, destroys or anonymizes personal data. Personal data is not retained in consideration of the possibility that a necessity might arise later.
5. DATA SECURITY
Our Company takes necessary technical and administrative measures to ensure that an appropriate level of security is provided for prevention of unlawful processing of and access to personal data, as well as the lawful protection of data that it processes pursuant to article 12 of the LPDP.
In this context, our Company performs necessary audits within itself oroutsources such audits pursuant to article 12 of the LPDP. As a result of such audits, nonconformities identified within the scope of internal operation of the Company are reported to the department related to the issue, and necessary activities are conducted to improve the measures that are taken.
Our Company established and implemented a system that ensures any acquisition of personal data by other parties via unlawful methods is notified as soon as possible to the Data Subject and the PDP Board.If deemed necessary by the PDP Board, this situation can be announced on the web site of the PDP Board or by another means.
Principal technical and administrative measures taken to ensure prevention of unlawful processing of and unlawful access to personal data, as well as lawful retaining of such data, are as follows:
- Technological investments to be made to ensure the security of personal data were planned upon determination of the costs for such investments.
- Employed personnel have knowledge in technical matters.
- Technical measures that are taken are reported to the relevant unit as required by the internal audit mechanism, upon which matters that pose risk are re-evaluated and necessary technological solution is created.
- Software and hardware involving antivirus systems and firewalls are installed.
- Backup programs suitable for secure storage of personal data are used.
- Employees are informed and trained about the law on protection of personal data, lawful processing of personal data, and measures to be taken to prevent unlawful access to personal data.
- Counseling services were received from an international consulting company in respect of the analysis of personal data processed within the company and actions that should be taken for compliance with the LPDP, personal data accessible by business units were reviewed, and actions were taken in respect of situations where access was deemed to be unnecessary.
- All activities conducted by out companies were analyzed in detail in respect of every business unit; as a result of which, activities performed by relevant business units were projected on a detailed and process-based personal data inventory.
- Pursuant to the inventory in question, activities were initiated throughout the Company, documents of the Company were examined in terms of the LPDP, necessary changes were made on such documents, and missing documents were drawn up to meet our legal obligations.
- Intra-company policies were drawn up to ensure the supervision of abovementioned measures and continuity of implementation.
- In line with the legal requirements in the inventory, personal data access and authorization processes are designed and implemented within the Company.
- Provisions stipulating that the recipients of personal data shall take necessary security measures for the protection of personal data and ensure that such measures are observed within their establishments are included in contracts made with parties to which our Company lawfully transfers personal data.
- It was ensured that our visitors were informed, and their explicit consents were obtained pursuant to the LPDP before processing their personal data.
6. METHOD FOR PROCESSING PERSONAL DATA
Your personal data are collected to the extent permitted and as limited by the applicable legislation and executed agreements, also by receiving your approval in case it is legally required to do so, by means of our Companies, our web site, written/digital applications made to our Company and other web sites, phone calls, e-mail communication, channels through which our Company or individuals and entities that are authorized to represent our Company, such as support service companies including organizations, contact(s) you or may contact you in the future.
Your personal data collected by these methods may be processed and transferred for the purposes specified in this article of the Policy pursuant to the conditions of and purposes for processing personal data, as specified in articles 5 and 6 of the Law no. 6698.
In addition, your personal data may be processed via cookies used on [ ] web site of IICS. You can prevent installation of cookies by adjusting the settings of your browser accordingly. This might prevent you from being able to use the full range of services. For more information on the use of cookies on our page, please refer to our Cookie Policy published on the web site.
Our Company informs Data Subjects during collection of personal data pursuant to article 10 of the LPDP and the provisions of the Communique on Disclosure. In this context, our Company provides information on IICS and identity of the representative, if any, the purpose for processing of personal data, purpose of transferring and recipients of processed personal data, method of and legal grounds for collection of personal data, as well as the rights of the Data Subjects within the scope of article 11 of LPDP. Within the scope of the obligation to inform as required pursuant to article 10 of the LPDP, our Company notifies the Data Subjects of the Data Subject groups, whose personal data are processed, the purposes for processing of the personal data of the Data Subject, and the retaining periods.
Another condition for the processing of personal data is the explicit consent of the Data Subject. In case explicit consent should be obtained, our Company provides the Data Subject with the opportunity to provide their explicit consent in respect of a certain subject, based on information, and with free will.
As a rule, our Company obtains explicit consents of Data Subjects to processing of personal data in writing. However, in case of the existence of any condition for processing of personal data, specified in article 5/2 or article 6/3 of the LPDP, explicit consent of the Data Subjects is not required. Such conditions are described below in detail.
a. Stipulation by the law
In case the activity regarding the processing of personal data is explicitly stipulated by the law, such data can be processed without explicit consent of the Data Subject.
(e.g. Documents requested from an employee for preparation of the personnel file stipulated in the Labor Law no. 4857)
b. Failure to obtain explicit consent of the Data Subject due to actual impossibility
Personal data can be processed without explicit consent of the Data Subject in case it is obligatory for our Company, in terms of life or bodily integrity of the Data Subject or another individual, to process personal data, and in case the Data Subject is unable to give consent due to actual impossibility or legal invalidity in this case.
(e.g. Sharing blood type information of an employee that had an accident with the occupational physician)
c. Being directly related to drawing up or performance of the contract
Personal data can be processed without explicit consent of the Data Subject if it is required to process personal data of the parties to the contract, provided that processing of personal data by our Company is directly related to and necessary for drawing up or performance of a contract.
(e.g. Recording address information of a real person to make delivery, provide services, etc.)
d. Performance of legal obligations of the company
If it is required for our Company, acting as a Data Controller, to fulfill its legal obligation; personal data can be processed without explicit consent of the Data Subject.
(e.g. Processing personal data of employees to carry out payroll processes)
e. Public disclosure of personal data by the Data Subject
Our Company may process personal data in a limited manner without explicit consent of the Data Subject, provided that such data are disclosed to the public by the Data Subject.
(e.g. Announcement of emergency contact information by the person)
f. Compulsory data processing for establishment or protection of a right
If it is required to process personal data for establishment, exercise or protection of a right, personal data can be processed without explicit consent of the Data Subject.
(e.g. Retaining and using, if necessary, personal data evidential personal data throughout the legal term of limitation)
g. Compulsory data processing for legitimate interest of our Company
Personal data of the Data Subject can be processed if it is required to process data for legitimate purposes of our Company, provided that rights and liberties of the Data Subject are not impaired.
(e.g. Processing of personal data in respect of employee performance for award and bonus programs to increase employee commitment)
7. METHOD FOR PROCESSING SENSITIVE PERSONAL DATA
Pursuant to article 6 of the LPDP, data in respect of race, ethnicity, political view, philosophical opinion, religion, denomination or other beliefs, appearance, association, foundation or union membership, medical condition, sexual orientation, criminal conviction and security measures, as well as biometric and genetic data are regulated as sensitive personal data, and processing of such information are subject to sensitive protection.
Our Company informs Data Subjects during collection of sensitive personal data pursuant to article 10 of the LPDP. In this context, our Company provides information on IICS and identity of the representative, if any, the purpose for processing of sensitive personal data, purpose of transferring and recipients of processed sensitive personal data, method of and legal grounds for collection of sensitive personal data, as well as the rights of the Data Subjects within the scope of article 11 of LPDP. Within the scope of the obligation to inform as required pursuant to article 10 of the LPDP, our Company notifies the Data Subjects of the Data Subject groups, whose sensitive personal data are processed, the purposes for processing of the sensitive personal data of the Data Subject, and the retaining periods.
Sensitive personal data are processed by taking measures pursuant to the LPDP and performance/outsourcing of necessary audits. As a rule, another condition for the processing of sensitive personal data is the explicit consent of the Data Subject. Our Company provides the Data Subjects with the opportunity to provide their explicit consent in respect of a certain subject, based on information, and with free will.
As a rule, our Company obtains explicit consents of Data Subjects to processing of sensitive personal data in writing. However, in accordance with article 6/3 of the LPDP, in case of the existence of any condition specified in article 5/2 of the LPDP, explicit consent of the Data Subjects is not required.
8. OUR PURPOSES FOR PROCESSING PERSONAL DATA
Our Company processes personal data for the following purposes (without limitation) within the scope of performance of necessary studies and conduct of associated business processes by our business units in order to conduct our activities; ensuring legal, technical and commercial-occupational safety of our Company and the Data Subjects that have business relationships with our Company; planning and execution of trade and/or business strategies of the Company; performance of necessary studies and conduct of associated business processes by our business units in order to ensure that the Data Subjects utilize services provided by our Company; planning and execution of human resources policies and processes.
- Conducting activities of the company,
- Planning and execution of education and training activities,
- Planning and execution of corporate communication,
- Planning and execution of Human Resources and occupational health and safety processes,
- Ensuring legal and commercial safety of entities in business relationship with out Company,
- Being able to inform you about news from and activities of the Company,
- Being able to coordinate with students and their parents, limited to the execution of educational activities,
- Contacting you using your information submitted via our e-mail addresses and form on our web site,
- Conducting accounting operations such as invoicing in exchange for our services,
- Ensuring audits that are deemed necessary, such as safety in business processes and planned periodical internal audit activity,
- Ensuring the security of our head office and school building,
- Determination and implementation of commercial and business strategies of our Company,
- Providing requested educational services,
- Management of contractual processes and performance of contractual obligations,
- Implementation and supervision of workplace rules,
- Sending offers to prospective customers/parents regarding our services,
- Measurement of satisfaction regarding our services and improvement of our services accordingly; planning, supervision and execution of risk management, corporate sustainability, corporate management, strategic planning and information security processes; ensuring business continuity,
- Conducting our finance, communication, market research and purchasing operations,
- Sustaining our intra-company system and application management operations,
- Management of relations with our sponsors, suppliers and other business partners,
- Performance of photo and video shoots at organizations, management of marketing activities,
- Fulfillment of legal obligations arising from the legislation,
- Ensuring transport of goods and samples,
- Management of processes with public institutions and organizations such as Social Security Institution,
- Monitoring and prevention of misconduct and unauthorized operations.
In line with the abovementioned purposes, it is seen that most of the activities and processes conducted by our Company are within the scope of article 5/2 and 6/3 of the LPDP, and therefore do not require explicit consent of Data Subjects. However, explicit consent of Data Subjects is received in case conducted activities or processes are outside this scope.
9. TRANSFER OF PERSONAL DATA
In order to be able to achieve the purposes mentioned above, to the extent required for the fulfillment of legal obligations, and limited by these purposes; your personal data can be shared with our suppliers, sponsors, business partners (software companies that provide technical support services, companies that provide audit services, companies that provide e-commerce services, advertising agencies, vehicle rental companies, etc.) with which we cooperate and from which we receive services for performance of services provided by our medical Company, private insurance companies (health, retirement, life insurance, etc.), Social Security Institution, General Directorate of Security and other law enforcement agencies, General Directorate of Civil Registration, other relevant public institutions and organizations, courts, your authorized representatives, your employer, third parties that provide services to us including lawyers, tax consultants and auditors, regulatory and supervisory institutions and public authorities.
Your Personal Data can be stored and retained; classified as required by market research, financial and operational processes as well as marketing activities (on the condition that explicit consents are received at relevant points); updated in varying periods; transferred to 3rd Parties and/or suppliers and/or service providers and/or our foreign shareholders that we are affiliated with, as required by the service to the extent permitted by the legislation, pursuant to the law, and within the scope of the principles of confidentiality; transferred in accordance with our governing policies and for reasons stipulated by other authorities; stored; processed by means of reporting; issued as records and documents on electronic or paper media as a baseline for operations; transferred pursuant to conditions of and purposes for personal data processing specified under the LPDP in article 8 on the transfer of personal data and article 9 on overseas transfer of personal data.
Our Company can transfer personal data and sensitive personal data without explicit consent of the Data Subject provided that adequate measures stipulated by the PDP Board are taken if the conditions provided in articles 5/2 and 6/3 of the LPDP are met.
Your personal data shall always be processed in confidentiality and it shall not be shared with third parties that do not act on our behalf unless you consent in writing or by electronic means to sharing the data, reasons provided in article 5/2 of the LPDP are present, or we are legally required to do so.
Please also consider that we may share your personal data with other global companies in our network, and therefore we may utilize available technological products to be able to provide our services such as cloud computing technologies in the most efficient manner.
10. RECIPIENTS OF PERSONAL DATA AND PURPOSES FOR TRANSFER
Our Company notifies the recipient groups of personal data to the Data Subject pursuant to article 10 of the LPDP.Recipients, scope of such entities, and the purposes for data transfer are as follows.
TRANSFER RECIPIENTS | DESCRIPTION | PURPOSE OF DATA TRANSFER | |
Business Partner | Defines the parties, with which our Company establishes business partnerships during the conduct of its commercial activities, for purposes such as sale, promotion and marketing, and after-sale support regarding the services of our Company. | Limited to the purpose of ensuring fulfillment of purposes for establishment of the business partnership | |
Sponsors / Visitors (student and parent) | Defines entities and/or employees/authorized signatories/other natural entities within companies receiving services from our Company. | Limited to the purpose of providing services to our customers | |
Supplier | Defines parties that provide services to our Company on a contractual basis subject to orders and instructions of our Company during the conduct of commercial activities of our Company, or employees/executives/other Data Subjects of such parties. | Limited to the purpose of ensuring the provision of services outsourced by our Company from suppliers | |
Legally Competent Public Institutions and Organizations | Public institutions and organizations authorized to receive information and documents from our Company pursuant to the provisions of the applicable legislation | Limited to the purpose of request by the relevant public institutions and organizations under their authority | |
Legally Competent Private Law Entities | Private law entities authorized to receive information and documents from our Company pursuant to the provisions of the applicable legislation | Limited to the purpose of request by the relevant private law entities under their authority (e.g. Occupational Health and Safety Company) | |
11. RETENTION PERIODS OF PERSONAL DATA
Our Company retains general and sensitive personal data throughout the periods stipulated in the LPDP and other applicable legislation. Your personal data mentioned above can be transferred to physical archives and computing systems of our Company and/or suppliers and stored on both digital and physical media.
If the legislation does not stipulate a period for retaining personal data, personal data shall be retained for the period determined in consideration of the following criteria, and destroyed upon expiration of such period:
- The period recognized as the general practice in the industry within which the data controller operates pursuant to the processing purpose of the relevant data category,
- The period during which the legal relationship established with the Data Subject, which requires the processing of personal data in the relevant data category,
- The period during which the legitimate interest to be obtained by the data controller shall be valid pursuant to the law and the rules of integrity in connection with the processing purpose of the relevant data category,
- The period during which risks, costs and liabilities to be posed by the storage of data shall be legally effective in connection with the processing purpose of the relevant data category,
- Whether the maximum period to be determined is convenient for keeping the relevant data category accurate and, as necessary, up-to-date,
- The period during which the data controller is required to retain the personal data in the relevant data category pursuant to its legal obligation,
- The limitation period determined for assertion of a right by the data controller depending on the personal data in the relevant data category
If the processing purpose of personal data is no longer valid and the retaining periods determined by the applicable legislation and the Company have expired, personal data can be retained only for the purposes of constituting evidence in respect of possible legal disputes, being able to assert a relevant right depending on the personal data, or establishing a defense. In determination of the periods mentioned here, limitation periods intended for the assertion of the mentioned right, and retention periods based on examples in requests that were previously submitted to our Company about the same issues despite the expiration of limitation periods are determined. In this case, retained personal data cannot be accessed for any other purpose and such personal data is accessible only when it is required to be used in respect of the relevant legal dispute. Under these circumstances, personal data is deleted, destroyed or anonymized upon expiration of the period in question.
12. CATEGORIZATION OF PERSONAL DATA
Our Company processes personal data under the categories provided in the following table.
PERSONAL DATA CATEGORY | DESCRIPTION |
Identity Information | All information on documents such as Driving License, Identity Card, Residence, Passport, Lawyer Identity Card, Marriage Certificate |
Contact Information | Information such as telephone number, address, e-mail |
Customer/Parent/Student Information | Information obtained and generated about the Data Subject as a result of operations conducted by our business units within the scope of our services |
Information on Family Members and Relatives | Information on family members and relatives of the Data Subject, information on families or relatives of visitor children for the purpose of protecting legal interests of employees |
Operational Security Information | Your personal data processed to ensure our technical, administrative, legal and commercial security while conducting our commercial activities |
Risk Management Information | Personal data processed to be able to manage our technical and administrative risks via methods utilized pursuant to the generally accepted legal, commercial practices in these fields and the rule of integrity |
Personnel Information | All kinds of personal data processed for the purpose of obtaining information to constitute basis for personnel rights of our Employees or natural entities in employment relationship with our Company |
Prospective Employee Information | Personal data processed in relation to individuals that made job applications to our company, or that were assessed as prospective employees in line with human resources needs of our Company pursuant to the rules of integrity, or that are in business relationships with our Company |
Information on Benefits and Interests | Your personal data processed for planning benefits and interests provided and to be provided to employees or other natural entities in business relationships with our Company, determination of objective criteria regarding eligibility for these, and follow-up of eligibility for these |
Information on Legal Proceedings and Compliance | Your personal data processed within the scope of determination and follow-up of our legal claims and rights, payment of our debts, and compliance with our legal obligations and policies of our Company |
Supervision and Audit Information | Your personal data processed within the scope of the legal obligations of our Company and compliance with Company policies |
Sensitive Personal Data | Data specified in article 6 of the LPDP |
Request and Complaint Management Information | Personal data in respect of receiving and evaluation of all kinds of requests or complaints submitted to our Company |
Incident Management Information | Information and assessments collected in respect of incidents that have the potential to affect our Company, employees, and shareholders |
Audio/Visual Data | Data in photographs and camera recordings, audio recordings and documents constituting copies of documents that contain personal data |
13. CATEGORIZATION OF DATA SUBJECTS
Our Company processes the personal data for the following Data Subject categories, while implementation scope of the Policy is limited to the Data Subjects. Explanations regarding such people are provided in the following table.
Although categories of Data Subjects determined by our Company are as specified above, people outside these categories may submit their requests to our Company pursuant to the LPDP, and requests of such people shall also be taken into consideration within the scope of the Policy.
DATA SUBJECT CATEGORY | DESCRIPTION |
Customer (Visitor child, parent/relative and Sponsors) | Natural entities receiving services from our company or our contracted sponsors operating within the park |
Prospective Customer | Natural entities that requested to utilize or showed interest in our Services, or that were considered to be potentially interested in compliance with practices and rules of integrity |
Visitor | Natural entities that accessed physical campuses owned or where an activity was organized by our Company for various purposes, or that visited our web sites |
Third Party | Third party natural entities (e.g. guarantor, attendant, family members and relatives) in relation with the abovementioned parties, whose personal data should be processed by our Company to ensure security of commercial transactions between our Company and such parties, or to protect the rights of such people and ensure their interests; or all natural entities, whose personal data should be processed by our Company for a certain purpose, even if it might not be explicitly mentioned within the scope of the Policy. |
Prospective Employee | Natural entities that made a job application to our Company by any means or disclosed their resumés and relevant information to our Company for examination. |
Company Executive | Board member of our Company and other natural entities (such as authorized signatories) authorized by our Company |
Employees, Shareholders, Executives of Institutions that We Cooperate with | Natural entities that work with institutions (including but not limited to business partners, suppliers, etc.), with which our Company is in any business relationship, including shareholders and executives of such institutions |
14. PERSONAL DATA PROCESSING ACTIVITIES CONDUCTED AT IICS LOCATIONS/CAMPUSES
Security cameras are used to ensure security of our campuses. Our school conducts personal data processing activity by using security cameras.
Our Company aims to increase the quality of provided services, ensure their reliability, ensure safety of life and property of our Company, the Data Subject and other people, prevent misconduct, and protect legitimate interests of the mentioned parties within the scope of surveillance with security cameras.
Personal data processing activities carried out by our Company by means of security cameras are conducted pursuant to the Constitution, the LPDP and other applicable legislation.
Our Company processes personal data in connection with the purpose of processing, in a limited and prudent manner pursuant to article 4 of the LPDP. Surveillance, which might lead to intervention with the privacy of a person beyond security purposes, is not carried out. Data Subjects are informed about personal data processing activities conducted within this scope. However, their explicit consents are not obtained as our Company has legitimate interests.
Necessary technical and administrative measures are taken by our Company pursuant to article 12 of the LPDP in order to ensure the security of personal data obtained as a result of surveillance with cameras.
15. RETAINING RECORDS CONCERNING INTERNET ACCESS PROVIDED TO OUR VISITORS AT IICS LOCATIONS/CAMPUSES
Our Company may provide internet access to our visitors that request such access as long as they remain within our buildings and Companies, to ensure security and for purposes specified in the Policy. In this case, logs regarding your internet access are recorded pursuant to the Law no. 5651 and mandatory provisions of the legislation regulated in accordance with such law; while these records are only processed upon request of competent public institutions and organizations or to fulfill our legal obligation during audit processes to be held within the Company.
Logs obtained in this context are accessible only by a limited number of IICS employees. Employees of the Company, who have access to the mentioned records, access these records only upon requests received from competent legal institutions and organizations or to use these during audit processes, and share these with legally competent parties.
16. DELETION, DESTRUCTION AND ANONYMIZATION OF PERSONAL DATA
a. Obligation of IICS to delete, destroy and anonymize personal data
In accordance with article 138 of Turkish Penal Code, article 7 of the LPDP, and article 7 of the Regulation on Deletion, Destruction or Anonymization of Personal Data, despite being processed pursuant to the provisions of applicable law, personal data is deleted, destroyed or anonymized at the discretion of our Company or upon request of the Data Subject in case of the cessation of reasons that require processing.In this Policy, the concepts of deletion, destruction and anonymization are used pursuant to the definitions provided in the Regulation on Deletion, Destruction or Anonymization of Personal Data. In this context, a Personal Data Retention and Destruction Policy was prepared.
Our Company reserves the right to reject the destruction request of the Data Subject in case our Company is entitled and/or obliged to retain personal data in accordance with article 5/2 of the LPDP.
b. Methods for deletion, destruction and anonymization of personal data
- Methods for Deletion and Destruction of Personal Data
Principles and procedures in respect of the techniques for deletion and destruction of personal data by IICS are as follows:
- Physical Destruction: Personal data may also be processed by non-automated methods provided that they are part of any data recording system. When such data are deleted/destroyed, they are physically destroyed so that personal data cannot be used later.
- Secure Deletion from Software: During deletion/destruction of data processed completely or partially by automated means and stored on digital media, methods involving deletion of data in an unrecoverable manner from relevant software are used.
- Secure Deletion by an Expert: In certain cases, the Company may hire an expert to delete personal data on its behalf. In this case, personal data is securely deleted/destroyed by an expert in the field in an unrecoverable manner.
- Redaction: Ensuring that personal data are converted into a illegible form.
Upon occurrence of abovementioned circumstances, IICS fully complies with provisions of the LPDP, secondary legislation and other applicable legislation, and takes all kinds of administrative and technical measures to ensure data security.
- Methods for Anonymization of Personal Data
Anonymization of personal data means that personal data are converted into a form that cannot be associated under any circumstances with a natural entity, whose identity is known or can be determined, even by matching personal data with other data. Our Company is capable of anonymization of personal data upon cessation of reasons that require processing of personal data that are lawfully processed.
In accordance with article 28 of the LPDP, anonymized personal data may be processed for purposes such as research, planning and statistics. Such processing is outside the scope of the LPDP and explicit content of the Data Subject shall not be required for such personal data.
Anonymization techniques that are commonly used by our Company are as follows:
- Masking
Ensuring that personal data cannot identify the individual by deleting or starring certain parts.
e.g. If the telephone number of the Data Subject is partially starred, it is considered masking.
- Consolidation
Means cumulation of data to reflect total values.
e.g. Indicating the number of female employees within the company as 40% and the number of male employees as 60%.
- Data Derivation
Replacement of available detailed data with more general counterparts.
e.g. Instead of providing day/month/year details of birth date information, directly inserting the age of the person constitutes anonymization by data derivation.
- Data Blending
Means blending values within the data set to eliminate the opportunity to identify individuals without impairing total benefit.
e.g. In a workplace where it is desired to obtain an average age, values reflecting ages of employees are interchanged to carry out data blending.
17. RIGHTS OF DATA SUBJECTS
Our Company notifies the rights of the Data Subject pursuant to article 10 of the LPDP, provides guidance to the Data Subject on how to exercise such rights, and our Company maintains necessary channels, internal operation, administrative and technical arrangements required pursuant to article 13 of the LPDP to assess the rights of the Data Subjects and to inform the Data Subjects as necessary.
a. Rights of Data Subjects
Data Subjects have the following rights:
- Finding out whether their personal data was processed,
- Requesting information in this regard if their personal data was processed,
- Finding out the purpose of processing for personal data and whether these were properly used,
- Being aware of the domestic or overseas third parties to which personal data were transferred,
- Requesting correction of incomplete or inaccurate personal data, and requesting notification of this procedure to third party recipients of the personal data,
- Requesting deletion or destruction of personal data in case of the cessation of reasons that require processing, and notification of this procedure to third party recipients of the personal data, despite the conduct of processing in compliance with the LPDP and other applicable provisions of the law,
- Objecting to development of a result to the detriment of the person upon analysis of processed data exclusively via automated systems,
- Requesting compensation of losses that might be incurred due to unlawful processing of personal data.
b. Events Where the Data Subject Cannot Exercise Their Rights
As the following circumstances are excluded from the scope of LPDP in accordance with a. 28 of the LPDP, Data Subjects cannot assert their rights specified in a. 11 of the LPDP.
- Processing personal data for official statistics and for purposes such as research, planning and statistics following anonymization.
- Processing personal data for artistic, historic, literary or scientific purposes or within the scope of freedom of expression provided that national defense, national security, public safety, public order, economic safety, the right to privacy or personal rights are not violated or no crime is committed.
- Processing personal data within the scope of preventive, protective and coordinated business activities conducted by legally appointed and authorized public institutions and organizations for the purpose of ensuring national defense, national security, public safety, public order, or economic safety.
- Processing of personal data by judicial authorities or executive bodies in respect of investigation, proceeding, trial or execution procedures.
In accordance with article 28/2 of the LPDP, the Data Subjects may not assert the rights other than their right to demand compensation as specified in a. 11 of the LPDP:
- Necessity of processing personal data for prevention of commission of a crime or criminal investigation.
- Processing personal data disclosed to the public by the Data Subject.
- Necessity of processing personal data by appointed and authorized public institutions and organizations, and public professional organizations, based on the authority granted by the law, to conduct supervision or regulation duties and for discipline investigations or proceedings.
- Necessity of processing personal data for protection of economic and financial interests of the State in respect of budgetary, taxational and financial matters.
c. Exercise of the Rights of the Data Subject
Data Subjects may submit their requests regarding their rights under article 11 of the LPDP to our Company free of charge via the following method:
INFORMATION REQUEST ON PROTECTION OF PERSONAL DATA LAW
Applicaiton of the form available on the web site, signing with wet signature, and personal delivery to the address Istanbul International Community School Eğitim ve Öğretim Hizmetleri Anonim Şirketi – Karaagac Koyu Mahallesi, Kahraman Caddesi, 27/1 34500 Buyukcekmece, Istanbul Turkey
Application of the form available on IICS_application_form_personal_data_EN signing with wet signature, and delivery via notary public to the address Istanbul International Community School Eğitim ve Öğretim Hizmetleri Anonim Şirketi – Karaagac Koyu Mahallesi, Kahraman Caddesi, 27/1 34500 Buyukcekmece, Istanbul Turkey
Third parties cannot exercise the right to demand information, regulated in article 11 of the LPDP, on behalf of the Data Subjects. In order to enable the Data Subject to submit an application regarding personal data of another person, the Data Subject should submit a special power of attorney with wet signature and notarization, issued in the name of the person making the application.
If the procedure requested by Data Subjects require an additional cost, our Company shall charge the fee in the tariff determined by the PDP Board. The method for payment of such fee shall be specified in the Application Form. Applications shall not be taken into consideration unless such fee is paid in compliance with the described method.
d. The Right of the Data Subjects to File a Complaint with the PDP Board
Data Subjects may file a complaint with the PDP Board within thirty days from receiving the response of our Company and, in any case, sixty days from the date of application, provided that the application is rejected, the response is considered to be inadequate, or no response is given to the application in due time in accordance with a. 14 of the LPDD.
18. RESPONSE OF IICS TO APPLICATIONS
If the Data Subjects submit their request to our Company, our Company shall finalize the relevant application as soon as possible and at the latest within thirty days based on the nature of the request.
Our Company may request information/documents from the Data Subject to identify whether the applicant is the Data Subject. Our Company may address questions to the Data Subject about their application to clarify the matters in the application.
Under the following circumstances, application of the applicant may be rejected by notifying the reason for rejection:
- Processing personal data for official statistics and for purposes such as research, planning and statistics following anonymization.
- Processing personal data for artistic, historic, literary or scientific purposes or within the scope of freedom of expression provided that national defense, national security, public safety, public order, economic safety, the right to privacy or personal rights are not violated or no crime is committed.
- Processing personal data within the scope of preventive, protective and coordinated business activities conducted by legally appointed and authorized public institutions and organizations for the purpose of ensuring national defense, national security, public safety, public order, or economic safety.
- Processing of personal data by judicial authorities or executive bodies in respect of investigation, proceeding, trial or execution procedures.
- Necessity of processing personal data for prevention of commission of a crime or criminal investigation.
- Processing personal data disclosed to the public by the Data Subject.
- Necessity of processing personal data by appointed and authorized public institutions and organizations, and public professional organizations, based on the authority granted by the law, to conduct supervision or regulation duties and for discipline investigations or proceedings.
- Necessity of processing personal data for protection of economic and financial interests of the State in respect of budgetary, taxation and financial matters.
- Possibility of the request of the Data Subject to obstruct rights and liberties of other people.
- Requests of the Data Subject that require disproportional effort.
- The fact that the requested information is a public information.
19. THE RELATIONSHIP BETWEEN THE POLICY AND OTHER DOCUMENTS OF THE COMPANY
The Policy is the essential regulation of our Company with respect to processing personal data. The Policy was drawn up to be implemented in harmony with other policies, procedures and processes drawn up by our Company with similar intentions. In case of any discrepancy between other policy or procedure texts drawn up by our Company with similar intentions, provisions of the Policy shall be taken into consideration regarding matters in respect of processing personal data.
Data Controller:
Istanbul International Community Eğitim ve Öğretim Hizmetleri Anonim Şirketi
Address: Karaagac Koyu Mahallesi, Kahraman Caddesi, 27/1 34500 Buyukcekmece, Istanbul / Turkey
Tel: +902128578264
Fax: +902128578265
Istanbul Trade Registry Office / registration no: 301060
www.iics.k12.tr
ANNEX – 1 ABBREVIATIONS
ABBREVIATIONS | |
Communiqué on Disclosure Obligation | Communiqué on Principles and Procedures to be Observed in Performance of the Disclosure Obligation, published in the Official Gazette no. 30356 of March 10, 2018 |
Constitution | The Constitution of the Republic of Turkey no. 2709 of November 7, 1982 published in the Official Gazette no. 17863 of November 9, 1982 |
Data Subject | Means a natural entity whose personal data is processed, such as customers, employees in commercial relationships, customers, business partners, shareholders, executives, prospective employees, interns, visitors, suppliers, employees of cooperating institutions of IICS and/or subsidiaries/affiliates of IICS, third parties, and other entities including but not limited to those listed here. |
Regulation on Deletion, Destruction or Anonymization of Personal Data | Regulation on Deletion, Destruction or Anonymization of Personal Data published in the Official Gazette no. 30224 of October 28, 2017, which took effect as of January 1, 2018 |
LPDP | The Law on Protection of Personal Data, which took effect upon being published in the Official Gazette no. 29677 of April 7, 2016 |
PDP Board | Protection of Personal Data Board |
PDP Institution | Protection of Personal Data Institution |
a. | Article |
e.g. | Exempli Gratia |
Policy | Personal Data Protection and Privacyy Policy of Istanbul International Community School Eğitim ve Öğretim Hizmetleri Anonim Şirketi |
Company/IICS | Istanbul International Community School Eğitim ve Öğretim Hizmetleri Anonim Şirketi |
Turkish Penal Code | Turkish Penal Code no. 5237 of September 26, 2004 published in the Official Gazette no. 25611 of October 12, 2004 |
ANNEX – 2 TABLE OF UPDATES
The Policy was updated on 12 June 2019. The changes in question involve .
KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ
1. AMAÇ
Istanbul International Community School Eğitim ve Öğretim Hizmetleri Anonim Şirketi (“IICS”) olarak kişisel verilerin korunmasına büyük önem vermekteyiz. Bu kapsamda IICS’in çalışanlarına, ziyaretçilerine, sponsorlarına, iş ortaklarına, yetkililerine, aday çalışanlarına, stajyerlerine, tedarikçilerine, işbirliği içinde çalıştığı kurumların/sponsorların/tedarikçilerin çalışanlarına ve yetkililerine, üçüncü kişilere ve burada sayılanlarla sınırlı olmamak üzere diğer kişilere (bundan sonra sayılan bu kişiler bir arada “İlgili Kişi” ya da “İlgili Kişiler” olarak alınacaktır) ait kişisel verilerin hukuka uygun bir şekilde işlenmesine ve korunmasına özen gösteriyoruz.
İşbu Kişisel Verilerin Korunması ve Gizlilik Politikası(“Politika”), IICS’in ticari ve idari faaliyetlerini (doğal olarak eğitim faaliyetleri buna dahildir.) yürütürken işleyeceği kişisel verilerin başta 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) olmak üzere diğer ilgili mevzuat hükümlerine ve hukuka uygun olarak işlenmesi amacıyla hazırlanmıştır. Bunun yanında Politika, kişisel verilerin hukuka uygun bir şekilde işlenmesinin bir politika haline getirilmesini ve İlgili Kişiler’i Şirketimizin işlediği kişisel veriler hakkında bilgilendirerek şeffaflığın sağlanmasını amaçlamaktadır. Bu kapsamda Politika’da ayrıntılı olarak açıklandığı üzere IICSolarak kişisel verileri aşağıdaki ilkeler ve kurallar çerçevesinde işliyoruz:
- KVKK’nın 4. maddesi uyarınca kişisel veriler hukuka ve dürüstlük kurallarına uygun, belirli, açık ve meşru amaçlar için işlenmekte, Şirketimiz bünyesinde hem fiziki hem de elektronik ortamlarda doğru ve güncel olarak tutulmakta, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olarak ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmektedir.
- KVKK’nın 12. maddesinde düzenlenen gerekli idari ve teknik tedbirleri alınmaktadır.
- İlgili Kişiler, Anayasa’nın 20. ve KVKK’nın 10. maddelerine uygun olarakkişisel verilerin elde edilmesi sırasında kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi, İlgili Kişiler’in KVKK’nın 11. maddesi kapsamındaki hakları konusunda aydınlatılmakta ve bilgilendirilmektedir.
- Anayasa’nın 20. ve KVKK’nın 5. maddeleri uyarınca gerekmesi halinde kişisel verilerin işlenmesine ilişkin İlgili Kişiler’in açık rızaları alınmaktadır.
- Şirketimiz, KVKK’nın 6. maddesi uyarınca özel nitelikli kişisel verilerin işlenmesine ve korunmasına gerekli hassasiyeti göstermektedir.
- Şirketimiz bünyesinde İlgili Kişiler’in KVKK’nın 11. maddesi kapsamında düzenlenen haklarını kullanabilmesi için gerekli yöntemler kurulmaktadır.
- Şirketimiz, KVKK’nın 8. ve 9. maddelerine uygun olarakkişisel verilerin işleme amacının gereklilikleri doğrultusunda yurtiçinde ya da yurtdışında bulunan üçüncü kişilere aktarılmasında, mevzuata ve KVK Kurulu düzenlemelerine uygun davranmaktadır.
- KVKK’nın 7. maddesi ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik hükümleri doğrultusunda Şirketimiz, kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verileri re’sen ya da İlgili Kişinin talebi üzerine silmekte, yok etmekte ya da anonim hale getirmektedir. Bu kapsamda Kişisel Veri Saklama ve İmha Politikası hazırlamıştır.
2. KAPSAM
Politika, İlgili Kişiler’e ilişkin otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verileri kapsar. Kişisel verilerin IICStarafından başlıca işlenme yöntemleri basılı evrak, telefon, internet sitesi, online hizmetler, e-mail, sosyal medya ve benzeri vasıtalar ile sözlü, yazılı ya da elektronik platformlardır.
3. UYGULAMA ve YÜRÜRLÜK
Kişisel verilerin işlenmesi ve korunması öncelikle KVKK ve yürürlükte bulunan diğer mevzuat çerçevesinde düzenlenecektir. Mevzuat hükümleri zaman içinde değişikliğe uğrayabileceği için Şirketimiz gerektiğinde Politika’yı güncel tutmak adına değişiklikler yapabilir. IICS olarak yürürlükte bulunan mevzuat ve Politika arasında herhangi bir uyumsuzluk olması halinde, yürürlükteki mevzuatın uygulanacağını kabul ederiz.
IICStarafından hazırlanan Politika, 12/06/2019 tarihinde yürürlüğe girmiştir. Politika Şirketimizin internet sitesinde www.iics.k12.tr yayımlanır ve İlgili Kişiler’in talebi üzerine İlgili Kişiler’e de iletilir. Politika’da değişiklik olması durumunda, Politika’nın yürürlük tarihi ve ilgili maddeler bu doğrultuda güncellenecektir. Güncelleme tablosu Ek – 2’de yer almaktadır.
4. İLKELERİMİZ
Şirketimiz, kişisel verileri KVKK m. 4’te düzenlenen aşağıdaki ilkeler çerçevesinde işlemektedir.
a. Hukuka ve Dürüstlük Kuralına Uygun İşleme
Şirketimiz; kişisel verilerin işlenmesinde dürüstlük kuralına, KVKK ve diğer ilgili mevzuata uygun olarak hareket etmektedir. Kişisel veriler hiçbir şekilde İlgili Kişi’nin haberi olmaksızın toplanmamakta ve işlenmemektedir. Kişisel veriler, İlgili Kişi’ye karşı ayrımcılığa yol açacak şekilde ya da kişisel verilerin toplama amacı aşılarak kullanılmamaktadır. Kişisel veriler toplanma amacı ile ölçülü ve orantılı bir şekilde işlenmektedir.
b. Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama
Şirketimiz; İlgili Kişilerin temel haklarını ve kendi meşru menfaatlerini dikkate alarak işlediği kişisel verilerin doğru ve güncel olmasını sağlamaktadır. Bu doğrultuda gerekli tedbirleri almaktadır. Bu kapsamda İlgili Kişiler’in bilgilerinin doğru ve güncel olmasını temin edecek sistemi oluşturmuştur.
c. Belirli, Açık ve Meşru Amaçlarla İşleme
Şirketimizin dürüstlük kuralına uygun meşru amaçlar için kişisel veri işlemektedir. Bu doğrultuda, kişisel verilerin işlenmesi hukuku kapsamında hazırladığı hukuki metinlerde (açık rızalar, aydınlatmalar vb.) belirlilik ve açıklık ilkesine hassasiyet göstermektedir. Yalnızca konu uzmanlarının anlayabileceği hukuki ve teknik terminoloji yerine İlgili Kişi tarafından anlaşılabilecek şekilde açık ve net ifadeleri tercih etmektedir. Böylece İlgili Kişiler kişisel verilerinin hangi amaçla işlendiğini kolayca anlayabilmektedir. Şirketimiz, İlgili Kişi’yi kişisel verilerin hangi amaçla işleneceği hakkında kişisel verilerin işlenmesi sırasında bilgilendirmektedir.
d. İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma
Şirketimiz, yalnızca belirli ve geçerli bir amaç ile kişisel veri işlemekte, hiçbir şekilde kişisel verilerin işlenmesi esnasında mevcut olmayan fakat ilerde gerçekleşebileceği düşünülen amaçlarla kişisel veri işlememektedir. Örneğin, satış amacıyla işlediği kişisel verileri daha sonra pazarlama amacı için kullanmamakta, farklı amaçlar için kişisel veri işlenecekse İlgili Kişiler’e farklı bilgilendirmeler yapmaktadır. Bunun yanında amacın dışında çıkan kişisel veriler işlenmemektedir.
e. İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç için Gerekli Olan Süre Kadar Muhafaza Etme
Şirketimiz, kişisel verileri ancak ilgili mevzuatta belirtilen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. Öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediği tespit edilmektedir. Böyle bir süre belirlenmişse Şirketimiz bu süreye uygun davranmakta, bir süre belirlenmemişse Şirketimiz, kişisel verileri işlendikleri amaç için gerekli olan süre kadar saklamaktadır. Sürenin bitimi veya işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler Şirketimiz tarafından silinmekte, yok edilmekte veya anonim hale getirilmektedir. Sonradan ihtiyaç doğabileceği ihtimali ile kişisel veri saklanmamaktadır.
5. VERİ GÜVENLİĞİ
Şirketimiz, KVKK’nın 12. maddesine uygun olarak, işlemekte olduğu kişisel verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önlemek, verilerin hukuka uygun bir şekilde korunmasını sağlamak için uygun güvenlik düzeyini sağlamaya yönelik gerekli teknik ve idari tedbirleri almaktadır.
Bu kapsamda gerekli denetimleri KVKK’nın 12. maddesine uygun olarak, kendi bünyesinde yapmakta veya yaptırmaktadır. Bu denetim sonuçları Şirketin iç işleyişi kapsamında tespit edilen uygunsuzluklar konu ile ilgili bölüme raporlanmakta ve alınan tedbirlerin iyileştirilmesi için gerekli faaliyetler yürütülmektedir.
Şirketimiz, kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde bu durumu en kısa sürede İlgili Kişi’ye ve KVK Kurulu’na bildirilmesini sağlayan sistemi kurmuş ve faaliyete geçirmiştir. KVK Kurulu tarafından gerek görülmesi halinde, bu durum, KVK Kurulu’nun internet sitesinde veya başka bir yöntemle ilan edilebilir.
Kişisel verilerin hukuka aykırı işlenmesini, bu verilere hukuka aykırı erişimi önlemek ve kişisel verilerin hukuka uygun muhafazasını sağlamak için alınan başlıca teknik ve idari tedbirler aşağıda sıralanmaktadır:
- Kişisel verilerin güvenliğini sağlamak için yapılacak teknolojik yatırımlar bu yatırımların maliyetleri belirlenerek planlanmıştır.
- Teknik konularda bilgili personel istihdam edilmektedir.
- Alınan teknik önlemler periyodik olarak iç denetim mekanizması gereği ilgilisine raporlanmakta, risk teşkil eden hususlar yeniden değerlendirilerek gerekli teknolojik çözüm üretilmektedir.
- Virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılımlar ve donanımlar kurulmaktadır.
- Kişisel verilerin güvenli bir biçimde saklanmasını sağlamak için uygun yedekleme programları kullanılmaktadır.
- Çalışanlar, kişisel verilerin korunması hukuku ve kişisel verilerin hukuka uygun olarak işlenmesi ve kişisel verilere hukuka aykırı erişimi engellemek için alınacak tedbirler konularında bilgilendirilmekte ve eğitilmektedir.
- Şirket bünyesinde işlenen kişisel verilerin analizi ve KVKK’ya uyum için alınması gereken aksiyonlarla ilgili uluslararası bir danışmanlık Şirketinden danışmanlık hizmeti alınarak iş birimlerinin erişimi olan kişisel veriler gözden geçirilmiş ve erişimin gereksiz göründüğü durumlara ilişkin çalışmalar başlatılmıştır.
- Şirketimizin yürütmüş olduğu tüm faaliyetler detaylı olarak tüm iş birimleri özelinde analiz edilmiş, bu analiz neticesinde ilgili iş birimlerinin gerçekleştirmiş olduğu faaliyetler detaylı ve süreç bazlı bir kişisel veri envanterine yansıtılmıştır.
- Söz konusu envanter çerçevesinde hukuki yükümlülüklerimizin yerine getirilmesi için Şirket genelinde çalışmalar başlatılmış, Şirket belgeleri KVKK açısından incelenerek bu belgeler üzerinde gerekli değişiklikler yapılmış ve eksik olan belgeler hazırlanmıştır.
- Yukarıdaki tedbirlerin denetimini ve uygulamanın sürekliliğini sağlamak için Şirket içi politikalar hazırlanmıştır.
- Envanterde yer alan hukuki gerekliliklere uygun olarak Şirket içinde kişisel verilere erişim ve yetkilendirme süreçleri tasarlanmakta ve uygulanmaktadır.
- Şirketimiz tarafından kişisel verilerin hukuka uygun olarak aktarıldığı kişiler ile akdedilen sözleşmelere; kişisel verilerin aktarıldığı kişilerin, kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlayacağına ilişkin hükümler eklenmektedir.
- Ziyaretçilerimizin kişisel verileri işlenmeden önce KVKK’ya uygun bir şekilde aydınlatılmaları ve açık rızalarının alınması sağlanmıştır.
6. KİŞİSEL VERİLERİN İŞLENMESİ YÖNTEMİ
Kişisel verileriniz Şirketlerimiz, internet sitesi, Şirketimiz ve diğer web sitelerine yapılan yazılı/dijital başvurular, telefon görüşmeleri, e-mail yazışmaları, organizasyonlar dahil olmak üzere destek hizmeti kuruluşları gibi Şirketimiz veya Şirketimizin temsil yetkisi bulunan kuruluş ve kişilerin sizlerle iletişime geçtiği veya ileride iletişime geçebileceği kanallar aracılığıyla ilgili mevzuatın ve yapılan anlaşmaların izin verdiği ölçüde ve çizdiği sınırlar dahilinde, hukuken zorunlu olduğu durumlarda onayınız da alınarak toplanmaktadır.
Bu yöntemlerle toplanan kişisel verileriniz 6698 sayılı Kanun’un 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartları ve amaçları kapsamında Politika’nın bu maddesinde belirtilen amaçlarla işlenebilmekte ve aktarılabilmektedir.
Ayrıca, IICS ’a www.iics.k12.tr internet sitesinde kullanılan çerezler (cookie) ile de kişisel verileriniz işlenebilmektedir. Çerezlerin kurulmasını tarayıcı ayarlarınızı buna uygun biçimde yaparak önleyebilirsiniz. Bu tüm hizmetleri tam kapsamıyla kullanamamanıza neden olabilir. Sayfamızda çerezlerin kullanılmasıyla ilgili daha fazla bilgi için lütfen internet sitesinde yayınlanan Çerez Politikamıza başvurun.
Şirketimiz, KVKK’nın 10. maddesine ve Aydınlatma Tebliği hükümlerine uygun olarak, kişisel verilerin elde edilmesi sırasında İlgili Kişiler’i aydınlatmaktadır. Bu kapsamda Şirketimiz, IICS ve varsa temsilcisinin kimliğini, kişisel verilerin hangi amaçla işleneceğini, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile İlgili Kişiler’in KVKK m. 11 kapsamında sahip olduğu hakları konusunda aydınlatma yapmaktadır. Şirketimiz, KVKK m.10’a uygun olarak aydınlatma yükümlülüğü kapsamında hangi İlgili Kişi gruplarının kişisel verilerini işlediğini, İlgili Kişi’nin kişisel verilerinin işlenme amaçlarını ve saklama sürelerini İlgili Kişiler’e bildirmektedir.
Kişisel verilerin işlenme şartlarından bir diğeri ise İlgili Kişi’nin açık rızasıdır. Şirketimiz, açık rıza alınması gereken durumlarda İlgili Kişi’ye açık rızasını belirli bir konuya ilişkin, bilgilendirilmeye dayalı olarak ve özgür iradeyle açıklama fırsatı sunmaktadır.
Şirketimiz, kural olarak kişisel verilerin işlenmesi için İlgili Kişiler’in açık rızalarını yazılı olarak almaktadır. Ancak KVKK m. 5/2 veya m. 6/3’te belirtilen kişisel veri işleme şartlarından herhangi birinin varlığı durumunda İlgili Kişiler’in açık rızası aranmamaktadır. Bu şartlar aşağıda detaylıca anlatılmaktadır.
a. Kanunlarda öngörülmesi
Kişisel verilerin işlenmesine ilişkin ilgili faaliyetin kanunlarda açıkça öngörülmesi halinde kişisel veri, İlgili Kişi’nin açık rızası aranmaksızın işlenebilecektir.
(Örn. 4857 sayılı İş Kanunu’nda yer alan özlük dosyasının oluşturulması için çalışandan istenen belgeler)
b. Fiili imkansızlık sebebiyle İlgili Kişi’nin açık rızasının alınamaması
Şirketimiz tarafından kişisel veri işleme faaliyetinde bulunulmasının İlgili Kişi ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması ve bu durumda da İlgili Kişi’nin fiili imkânsızlık veya hukuki geçersizlik nedeniyle rızasını açıklayamayacak durumda bulunması halinde kişisel veri İlgili Kişi’nin açık rızası aranmaksızın işlenebilecektir.
(Örn. Kaza geçiren çalışanın kan grubu bilgisinin işyeri hekimi ile paylaşılması)
c. Sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması
Kişisel verilerin Şirketimiz tarafından işlenmesinin bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili ve gerekli olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması durumunda kişisel veri, İlgili Kişi’nin açık rızası aranmaksızın işlenebilecektir.
(Örn. Teslimat yapılması, servis hizmeti sunulması vs. için gerçek kişinin adres bilgilerinin kaydedilmesi,)
d. Şirketin hukuki yükümlülüğünü yerine getirmesi
Kişisel verilerin işlenmesinin Veri Sorumlusu konumunda bulunan Şirketimizin hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması halinde kişisel veri, İlgili Kişi’nin açık rızası aranmaksızın işlenebilecektir.
(Örn: Maaş bordrosu düzenlemek amacıyla çalışanların kişisel verilerinin işlenmesi)
e. İlgili Kişi’nin kişisel verisini alenileştirmesi
Kişisel verilerin İlgili Kişi tarafından alenileştirilmiş olması şartıyla kişisel veriler alenileştirme amacıyla sınırlı bir şekilde Şirketimiz tarafından İlgili Kişi’nin açık rızası aranmaksızın işlenebilecektir.
(Örn. Kişinin, acil durumlarda ulaşılması için iletişim bilgisini ilan etmesi)
f. Bir hakkın tesisi veya korunması için veri işlemenin zorunlu olması
Kişisel veri işlemenin bir hakkın tesisi, kullanılması veya korunması için zorunlu olması halinde kişisel veri İlgili Kişi’nin açık rızası aranmaksızın işlenebilecektir.
(Örn. İspat niteliğini haiz kişisel verilerin – sözleşmenin, faturanın vb.- yasal zamanaşımı süresi boyunca saklanması ve gerekmesi halinde kullanılması)
g. Şirketimizin meşru menfaati için kişisel veri işlemenin zorunlu olması
İlgili Kişi’nin hak ve özgürlüklerine zarar vermemek kaydıyla Şirketimizin meşru menfaatleri için veri işlemenin zorunlu olması halinde İlgili Kişi’nin kişisel verileri işlenebilecektir.
(Örn. Çalışan bağlılığını artıran ödül ve primler uygulanması amacıyla çalışan performansına ilişkin kişisel veri işlenmesi)
7. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ YÖNTEMİ
KVKK m. 6, ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler özel nitelikli kişisel veri olarak düzenlemiş ve bu verilerin işlenmesini daha hassas bir korumaya tabi tutmuştur.
Şirketimiz, KVKK’nın 10. maddesine uygun olarak, özel nitelikli kişisel verilerin elde edilmesi sırasında İlgili Kişiler’i aydınlatmaktadır. Bu kapsamda IICSve varsa temsilcisinin kimliğini, özel nitelikli kişisel verilerin hangi amaçla işleneceğini, işlenen özel nitelikli kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, özel nitelikli kişisel veri toplamanın yöntemi ve hukuki sebebi ile İlgili Kişiler’in KVKK m. 11 kapsamında sahip olduğu hakları konusunda aydınlatma yapmaktadır. Şirketimiz, KVKK m.10’a uygun olarak aydınlatma yükümlülüğü kapsamında hangi İlgili Kişi gruplarının özel nitelikli kişisel verilerini işlediğini, İlgili Kişi’nin özel nitelikli kişisel verilerinin işlenme amaçlarını ve saklama sürelerini İlgili Kişiler’e bildirmektedir.
Özel nitelikli kişisel veriler, KVKK’ya uygun tedbirler alınarak ve gerekli denetimler yapılarak/yaptırılarak işlenmektedir. Kural olarak özel nitelikli kişisel verilerin işlenme şartlarından bir diğeri ise İlgili Kişi’nin açık rızasıdır. Şirketimiz, İlgili Kişiler’e açık rızasını belirli bir konuya ilişkin, bilgilendirilmeye dayalı olarak ve özgür iradeyle açıklama fırsatını sunmaktadır.
Şirketimiz, kural olarak özel nitelikli kişisel verilerin işlenmesi için İlgili Kişiler’in açık rızalarını yazılı olarak almaktadır. Ancak KVKK m. 6/3 uyarınca, KVKK m. 5/2’de belirtilen şartlardan herhangi birinin varlığı durumunda İlgili Kişiler’in açık rızası aranmamaktadır.
8. KİŞİSEL VERİ İŞLEME AMAÇLARIMIZ
Şirketimiz, kişisel verileri; yürüttüğümüz faaliyetlerin gerçekleştirilmesi için ilgili iş birimlerimiz tarafından gerekli çalışmaların yapılması ve buna bağlı iş süreçlerinin yürütülmesi; Şirketimiz ve Şirketimizle iş ilişkisi içerisinde olan İlgili Kişiler’in hukuki, teknik ve ticari-iş güvenliğinin temini; Şirket’in ticaret ve/veya iş stratejilerinin planlanması ve icrası; Şirketimiz tarafından sunulan hizmetlerden İlgili Kişiler’i faydalandırmak için gerekli çalışmaların iş birimlerimiz tarafından yapılması ve ilgili iş süreçlerinin yürütülmesi; insan kaynakları politikaları ve süreçlerinin planlanması ve icra edilmesi kapsamında aşağıdaki amaçlarla (ancak bunlarla sınırlı olmamak üzere) işlemektedir.
- Şirket faaliyetlerinin yürütülmesi,
- Eğitim ve öğretim faaliyetlerinin planlanması ve icrası,
- Kurumsal iletişimin planlanması ve icrası,
- İnsan Kaynakları ve iş sağlığı ve güvenliği süreçlerinin planlanması ve icrası,
- Şirketimizle iş ilişkisi içerisinde olan kişilerin hukuki ve ticari güvenliğinin temini,
- Şirket yenilikleri ve faaliyetlerinden sizi haberdar edebilmek,
- Öğrencilerle ve velileriyle eğitim faaliyetlerinin icrasıyla sınırlı olmak kaydıyla koordinasyonu sağlayabilmek,
- İnternet sitemizde yer alan e-posta adreslerimiz ve form üzerinden gönderdiğiniz bilgileriniz üzerinden sizinle iletişime geçilmesi,
- Hizmetlerimiz karşılığı faturalandırma ve diğer muhasebe işlemlerinin yürütülmesi,
- İş süreçlerinde güvenliğin ve planlı periyodik iç denetim faaliyeti gibi gerekli görülen denetimlerin sağlanması,
- Şirket merkezinin ve okul bina güvenliğinin sağlanması,
- Şirketimizin ticari ve iş stratejilerinin belirlenmesi ve uygulanması,
- Talep edilen eğitim hizmetin sunulması,
- Sözleşmesel süreçlerin yönetilmesi ve sözleşmesel yükümlülüklerin ifa edilmesi,
- İşyeri kurallarının uygulanması ve denetimi,
- Hizmetlerimize ilişkin potansiyel müşterilere/velilere teklif sunulması,
- Hizmetlerimize ilişkin memnuniyetin ölçülmesi ve bu doğrultuda hizmetlerimizin geliştirilmesi, risk yönetimi Kurumsal sürdürülebilirlik, kurumsal yönetim, stratejik planlama ve bilgi güvenliği süreçlerinin planlanması, denetimi ve icrası; iş sürekliliğin sağlanması,
- Finans, iletişim, pazar araştırması ve satın alma operasyonlarımızın yürütülmesi,
- Şirket içi sistem ve uygulama yönetimi operasyonlarının sürdürülmesi,
- Sponsorlarımız, tedarikçilerimiz ve diğer iş ortaklarımız ile ilişkilerin yönetilmesi,
- Organizasyonlarda fotoğraf ve video çekimi yapılması, pazarlama faaliyetlerinin yönetilmesi,
- Mevzuattan kaynaklanan yasal yükümlülüklerin yerine getirilmesi,
- Mal ve numunelerin sevkiyatının sağlanması,
- Sosyal Güvenlik Kurumu gibi kamu kurum ve kuruluşları nezdindeki süreçlerin yönetilmesi,
- Suistimal ve yetkisiz işlemlerin izlenmesi ve engellenmesi.
Yukarıdaki amaçlar doğrultusunda, Şirketimizce yürütülen faaliyetlerin ve süreçlerin büyük bir bölümünün KVKK m. 5/2 ve m. 6/3 kapsamına girdiği ve dolayısıyla İlgili Kişiler’in açık rızasını gerektirmediği görülmektedir. Ancak yürütülen faaliyetlerin ya da süreçlerin bu kapsama girmemesi halinde İlgili Kişiler’in açık rızası alınmaktadır.
9. KİŞİSEL VERİLERİN AKTARILMASI
Kişisel verileriniz, yukarıda belirtilen amaçların gerçekleştirilebilmesi ve kanundan doğan yükümlülüklerin yerine getirilmesi için gerektiği ölçüde ve bu amaçlarla sınırlı olmak kaydıyla; tıp Şirketimizin sunduğu hizmetin ifası için işbirliği içinde olduğumuz ve hizmet aldığımız tedarikçilerimizle, sponsorlarımızla, iş ortaklarımızla (teknik destek hizmeti sağlayan yazılım firmaları, denetim hizmeti sunan firma, elektronik ticaret hizmeti sunan firma, reklam ajansları, araç kiralama şirketi vb.), özel sigorta Şirketleri (sağlık, emeklilik ve hayat sigortası ve benzeri), Sosyal Güvenlik Kurumu, Emniyet Genel Müdürlüğü ve diğer kolluk kuvvetleri, Nüfus Genel Müdürlüğü, ilgili diğer resmi kurum ve kuruluşlar, mahkemeler, yetki vermiş olduğunuz temsilcileriniz, bağlı olduğunuz ve/veya çalışmakta olduğunuz kurum, avukatlar, vergi danışmanları ve denetçiler de dâhil olmak üzere danışmanlık aldığımız üçüncü kişiler, düzenleyici ve denetleyici kurumlar ve resmi merciler ile paylaşılabilecektir.
Kişisel Verileriniz depolanıp muhafaza edilebilecek, pazar araştırması, finansal ve operasyonel süreçler ile pazarlama faaliyetleri gereği sınıflandırılabilecek (ilgili noktalarda açık rıza onaylarının alınması kaydıyla), değişik periyotlarda güncellenebilecek ve mevzuatın elverdiği ölçüde, yasalar çerçevesinde ve gizlilik esasları kapsamında hizmetin gerektirdiği 3. Kişiler ve/veya tedarikçiler ve/veya hizmet sağlayıcıları ve/veya bağlı bulunduğumuz yabancı hissedarlarımıza devredilebilecek, bağlı olduğumuz politikalar uyarınca ve diğer otoritelerce öngörülen nedenlerle bilgi aktarılabilecek, depolanabilecek, raporlamak suretiyle işlenebilecek elektronik veya kağıt ortamında işleme dayanak olacak şekilde kayıt ve belge düzenlenebilecek, KVKK’nın kişisel verilerin aktarılmasına ilişkin 8. maddesi ve kişisel verilerin yurt dışına aktarılmasına ilişkin 9. maddesinde belirtilen kişisel veri işleme şartları ve amaçları çerçevesinde aktarılabilecektir.
Şirketimiz, KVKK m.5/2 ve m. 6/3’te yer alan şartların sağlanması halinde, KVK Kurulu tarafından öngörülen yeterli önlemleri alarak kişisel verileri ve özel nitelikli kişisel verileri İlgili Kişi’nin açık rızası olmaksızın aktarabilmektedir.
Kişisel bilgileriniz her zaman gizlilik içinde işlenecek ve verilerin paylaşılmasına yazılı ya da elektronik olarak rıza göstermediğiniz veya KVKK m. 5/2 altında yer alan sebepler mevcut olmadığı ya da yasal olarak zorunluluğumuz bulunmadığı sürece adımıza hareket etmeyen üçüncü taraflarla paylaşılmayacaktır.
Aynı zamanda yukarıda belirtilen amaçlar dahilinde kişisel bilgilerinizi ağımızdaki diğer global şirketlerle paylaşabileceğimizi ve bu kapsamda bulut bilişim teknolojileri gibi hizmetlerimizi en verimli şekilde sunabilmemiz için mevcut teknolojik ürünlerden yararlanabileceğimizi lütfen göz önünde bulundurun.
10. KİŞİSEL VERİLERİN AKTARILDIĞI KİŞİLER VE AKTARIM AMAÇLARI
Şirketimiz, KVKK’nın 10. maddesine uygun olarak kişisel verilerin aktarıldığı kişi gruplarını İlgili Kişi’ye bildirmektedir.Aktarımda bulunulan kişiler, bu kişilerin kapsamı ve veri aktarım amaçları aşağıda belirtilmektedir.
AKTARIM YAPILAN KİŞİ ve KURUMLAR | TANIMI | VERİ AKTARIM AMACI | |
İş Ortağı | Şirketimizin ticari faaliyetlerini yürütürken Şirketimizin hizmetlerinin satışı, tanıtımı ve pazarlanması, satış sonrası desteği, gibi amaçlarla iş ortaklığı kurduğu tarafları tanımlamaktadır. | İş ortaklığının kurulma amaçlarının yerine getirilmesini temin etme amacıyla sınırlı olarak | |
Sponsorlar / Ziyaretçiler (öğrenci ve velisi) | Şirketimizin hizmet sunduğu kişileri ve/veya hizmet sunduğu firmalarda yer alan çalışan/imza yetkilileri/diğer gerçek kişileri tanımlamaktadır. | Müşterilerimize hizmet sunma amacıyla sınırlı olarak | |
Tedarikçi | Şirketimizin ticari faaliyetlerini yürütürken Şirketimizin emir ve talimatlarına uygun sözleşme temelli olarak Şirketimize hizmet sunan tarafları ya da bu tarafların çalışanları/yetkilileri/diğer ilgili kişileri tanımlamaktadır. | Şirketimizin tedarikçiden dış kaynaklı olarak temin ettiği ve Şirketimizin hizmet sunumunu sağlama amacıyla sınırlı olarak | |
Hukuken Yetkili Kamu Kurum ve Kuruluşları | İlgili mevzuat hükümlerine göre Şirketimizden bilgi ve belge almaya yetkili kamu kurum ve kuruluşları | İlgili kamu kurum ve kuruluşlarının hukuki yetkisi dahilinde talep ettiği amaçla sınırlı olarak | |
Hukuken Yetkili Özel Hukuk Kişileri | İlgili mevzuat hükümlerine göre Şirketimizden bilgi ve belge almaya yetkili özel hukuk kişileri | İlgili özel hukuk kişilerinin hukuki yetkisi dahilinde talep ettiği amaçla sınırlı olarak (Örn. İş Sağlığı ve Güvenliği Şirketi) | |
11. KİŞİSEL VERİLERİN SAKLANMA SÜRELERİ
Şirketimiz genel ve özel nitelikli kişisel verileri KVKK ve ilgili diğer mevzuatta öngörülen sürelerle sınırlı olarak saklamaktadır. Yukarıda belirtilen kişisel verileriniz, Şirketimize ve/veya tedarikçilerimize ait fiziki arşivler ve bilişim sistemlerine nakledilerek, hem dijital hem de fiziki ortamda muhafaza altında tutulabilecektir.
Kişisel verilerin ne kadar süre boyunca saklanması gerektiğine ilişkin mevzuatta bir süre belirtilmemişse kişisel veriler aşağıdaki kriterler göz önüne alınarak belirlenen süre boyunca saklanmakta ve bu sürenin ardından imha edilmektedir:
- İlgili veri kategorisinin işlenme amacı kapsamında veri sorumlusunun faaliyet gösterdiği sektörde genel teamül gereği kabul edilen süre,
- İlgili veri kategorisinde yer alan kişisel verinin işlenmesini gerekli kılan ve ilgili kişiyle tesis edilen hukuki ilişkinin devam edeceği süre,
- İlgili veri kategorisinin işlenme amacına bağlı olarak veri sorumlusunun elde edeceği meşru menfaatin hukuka ve dürüstlük kurallarına uygun olarak geçerli olacağı süre,
- İlgili veri kategorisinin işlenme amacına bağlı olarak saklanmasının yaratacağı risk, maliyet ve sorumlulukların hukuken devam edeceği süre,
- Belirlenecek azami sürenin ilgili veri kategorisinin doğru ve gerektiğinde güncel tutulmasına elverişli olup olmadığı,
- Veri sorumlusunun hukuki yükümlülüğü gereği ilgili veri kategorisinde yer alan kişisel verileri saklamak zorunda olduğu süre,
- Veri sorumlusu tarafından, ilgili veri kategorisinde yer alan kişisel veriye bağlı bir hakkın ileri sürülmesi için belirlenen zamanaşımı süresi
Kişisel verilerin işlenme amacı sona ermiş; ilgili mevzuat ve Şirketin belirlediği saklama sürelerinin de sonuna gelinmişse; kişisel veriler yalnızca olası hukuki uyuşmazlıklarda delil teşkil etmesi veya kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi veya savunmanın tesis edilmesi amacıyla saklanabilmektedir. Buradaki sürelerin tesisinde bahsi geçen hakkın ileri sürülebilmesine yönelik zaman aşımı süreleri ile zaman aşımı sürelerinin geçmesine rağmen daha önce aynı konularda Şirketimize yöneltilen taleplerdeki örnekler esas alınarak saklama süreleri belirlenmektedir. Bu durumda saklanan kişisel verilere herhangi bir başka amaçla erişilmemekte ve ancak ilgili hukuki uyuşmazlıkta kullanılması gerektiği zaman ilgili kişisel verilere erişim sağlanmaktadır. Burada da bahsi geçen süre sona erdikten sonra kişisel veriler silinmekte, yok edilmekte veya anonim hale getirilmektedir.
12. KİŞİSEL VERİLERİN KATEGORİZASYONU
Şirketimizde kişisel veriler aşağıdaki tabloda gösterilen kategoriler altında işlenmektedir.
KİŞİSEL VERİ KATEGORİSİ | AÇIKLAMA |
Kimlik Bilgisi | Ehliyet, Nüfus Cüzdanı, İkametgâh, Pasaport, Avukatlık Kimliği, Evlilik Cüzdanı gibi dokümanlarda yer alan tüm bilgiler |
İletişim Bilgisi | Telefon numarası, adres, e-posta gibi bilgiler |
Müşteri/Veli/Öğrenci Bilgisi | Hizmetlerimiz çerçevesinde iş birimlerimizin yürüttüğü operasyonlar neticesinde ilgili kişi hakkında elde edilen ve üretilen bilgiler |
Aile Bireyleri ve Yakın Bilgisi | Çalışanların hukuki menfaatlerini korumak amacıyla İlgili Kişi’nin aile bireyleri ve yakınları hakkındaki bilgiler, Ziyaretçi çocukların aileleri ya da yakınlarına ilişkin bilgiler |
İşlem Güvenliği Bilgisi | Ticari faaliyetlerimizi yürütürken teknik, idari, hukuki ve ticari güvenliğimizi sağlamamız için işlenen kişisel verileriniz |
Risk Yönetimi Bilgisi | Teknik ve idari risklerimizi yönetebilmemiz için bu alanlarda genel kabul görmüş hukuki, ticari teamül ve dürüstlük kuralına uygun olarak kullanılan yöntemler vasıtasıyla işlenen kişisel veriler |
Özlük Bilgisi | Çalışanlarımızın veya Şirketimizle çalışma ilişkisi içerisinde olan gerçek kişilerin özlük haklarının oluşmasına temel olacak bilgilerin elde edilmesine yönelik işlenen her türlü kişisel veri |
Çalışan Adayı Bilgisi | Şirketimizin çalışanı olmak için başvuruda bulunmuş veya ticari teamül ve dürüstlük kuralları gereği Şirketimizin insan kaynakları ihtiyaçları doğrultusunda çalışan adayı olarak değerlendirilmiş veya Şirketimizle çalışma ilişkisi içerisinde olan bireylerle ilgili işlenen kişisel veriler |
Yan Haklar ve Menfaatler Bilgisi | Çalışanlara veya Şirketimizle çalışma ilişkisi içerisinde olan diğer gerçek kişilere sunduğumuz ve sunacağımız yan-haklar ve menfaatlerin planlanması, bunlara hak kazanımla ilgili objektif kriterlerin belirlenmesi ve bunlara hak edişlerin takibi işin işlenen kişisel verileriniz |
Hukuki İşlem ve Uyum Bilgisi | Hukuki alacak ve haklarımızın tespiti, takibi ve borçlarımızın ifası ile kanuni yükümlülüklerimiz ve Şirketimizin politikalarına uyum kapsamında işlenen kişisel verileriniz |
Denetim ve Teftiş Bilgisi | Şirketimizin kanuni yükümlülükleri ve Şirket politikalarına uyumu kapsamında işlenen kişisel verileriniz |
Özel Nitelikli Kişisel Veri | KVKK m. 6’da belirtilen veriler |
Talep Şikayet Yönetimi Bilgisi | Şirketimize yöneltilmiş olan her türlü talep veya şikayetin alınmasıve değerlendirilmesine ilişkin kişiselveriler |
Olay Yönetim Bilgisi | Şirketimizin, çalışanlarının, hissedarlarının etkileme potansiyeli olan olaylarla ilgili toplanan bilgiler ve değerlendirmeler |
Görsel/İşitsel Veri | Fotoğraf ve kamera kayıtları, ses kayıtlarıile kişiselveri içeren belgelerin kopyası niteliğindeki belgelerde yer alan veriler |
13. İLGİLİ KİŞİLERİN KATEGORİZASYONU
Şirketimiz tarafından, aşağıda sıralanan İlgili Kişi kategorilerinin kişisel verileri işlenmekle birlikte, Politika’nın uygulama kapsamı İlgili Kişiler ile sınırlıdır. Bu kişilere ilişkin açıklamalar aşağıdaki tabloda yer almaktadır.
Şirketimiz tarafından İlgili Kişiler’in kategorileri yukarıda belirtilen kapsamda olmakla birlikte, bu kategorilerin dışında yer alan kişiler de KVKK kapsamında Şirketimize taleplerini yöneltebilecek olup; bu kişilerin talepleri de Politika kapsamında değerlendirmeye alınacaktır.
İLGİLİ KİŞİ KATEGORİSİ | AÇIKLAMA |
Müşteri (Ziyaretçi çocuk, velisi/yakını ve Sponsorlar) | Şirketimizden hizmet alan gerçek kişiler ya da park içinde faaliyet gösteren anlaşmalı sponsorlarımız |
Potansiyel Müşteri | Hizmetlerimizden yararlanma talebinde veya ilgisinde bulunmuş veya bu ilgiye sahip olabileceği teamül ve dürüstlük kurallarına uygun olarak değerlendirilmiş gerçek kişiler |
Ziyaretçi | Şirketimizin sahip olduğu veya bir organizasyon gerçekleştirdiği fiziksel yerleşkelere çeşitli amaçlarla girmiş olan veya internet sitelerimizi ziyaret eden gerçek kişiler |
Üçüncü Kişi | Şirketimizin yukarıda bahsi geçen taraflarla arasındaki ticari işlem güvenliğini sağlamak veya bahsi geçen kişilerin haklarını korumak ve menfaat temin etmek üzere bu kişilerle ilişkili olan üçüncü taraf gerçek kişiler (Örn. kefil, refakatçi, aile bireyleri ve yakınlar) veya Politika kapsamında açıkça belirtilmese de Şirketimizin kişisel verilerini belirli bir amaçla işlemek durumunda olduğu tüm gerçek kişiler |
Çalışan Adayı | Şirketimize herhangi bir yolla iş başvurusunda bulunmuş ya da özgeçmiş ve ilgili bilgilerini Şirketimizin incelemesine açmış olan gerçek kişiler |
Şirket Yetkilisi | Şirketimizin yönetim kurulu üyesi ve Şirketimizce yetkilendirilen diğer gerçek kişiler (Örn. imza yetkilileri) |
İş Birliği İçerisinde Olduğumuz Kurumların Çalışanları, Hissedarları, Yetkilileri | Şirketimizin her türlü iş ilişkisi içerisinde bulunduğu kurumlarda (iş ortağı, tedarikçi vb. ancak bunlarla sınırlı olmaksızın) çalışan, bu kurumların hissedarları ve yetkilileri dahil olmak üzere, gerçek kişiler |
14. IICS LOKASYONLARINDA/KAMPÜSLERİNDE YAPILAN KİŞİSEL VERİ İŞLEME FAALİYETLERİ
Kampüslerimizin güvenliğinin sağlanması amacıyla güvenlik kameraları kullanılmaktadır. Güvenlik kameraları kullanılması yoluyla okulumuz tarafından kişisel veri işleme faaliyeti yürütülmektedir.
Şirketimiz, güvenlik kamerası ile izleme faaliyeti kapsamında; sunulan hizmetin kalitesini artırmak, güvenilirliğini sağlamak, Şirketimizin, İlgili Kişi’nin ve diğer kişilerin can ve mal güvenliğini sağlamak, suiistimalleri önlemek ve bu sayılanların meşru menfaatlerini korumak gibi amaçlar taşımaktadır.
Şirketimiz tarafından güvenlik kameraları ile yapılan kişisel veri işleme faaliyetleri, Anayasa’ya, KVKK’ya ve ilgili diğer mevzuata uygun bir biçimde yürütülmektedir.
Şirketimiz, KVKK m. 4’e uygun olarak, kişisel verileri işlendikleri amaçla bağlantılı, sınırlı ve ölçülü bir biçimde işlemektedir. Kişinin mahremiyetini güvenlik amaçlarını aşan şekilde müdahale sonucu doğurabilecek şekilde izlemeye tabi tutulmamaktadır. Bu kapsamda yapılan kişisel veri işleme faaliyetleri ile ilgili İlgili Kişiler bilgilendirilmektedir. Ancak Şirketimizin meşru menfaatinin mevcut olması sebebiyle açık rızaları alınmamaktadır.
Şirketimiz tarafından KVKK m. 12’ye uygun olarak, kamera ile izleme faaliyeti sonucunda elde edilen kişisel verilerin güvenliğinin sağlanması için gerekli teknik ve idari tedbirler alınmaktadır.
15. IICS LOKASYONLARINDA/KAMPÜSLERİNDE ZİYARETÇİLERİMİZE SAĞLANAN İNTERNET ERİŞİMLERİNE İLİŞKİN KAYITLARIN SAKLANMASI
Şirketimiz tarafından güvenliğin sağlanması ve Politika’da belirtilen amaçlarla; bina ve Şirketlerimiz içerisinde kaldığınız süre boyunca talep eden ziyaretçilerimize internet erişimi sağlanabilmektedir. Bu durumda internet erişimlerinize ilişkin log kayıtları 5651 Sayılı Kanun ve bu kanuna göre düzenlenmiş olan mevzuatın emredici hükümlerine göre kayıt altına alınmakta; bu kayıtlar ancak yetkili kamu kurum ve kuruluşlar tarafından talep edilmesi veya Şirket içinde gerçekleştirilecek denetim süreçlerinde ilgili hukuki yükümlülüğümüzü yerine getirmek amacıyla işlenmektedir.
Bu çerçevede elde edilen log kayıtlarına yalnızca sınırlı sayıda IICS çalışanı erişilebilmektedir. Bahsi geçen kayıtlara erişimi olan Şirket çalışanları bu kayıtları yalnızca yetkili kamu kurum ve kuruluşundan gelen talep veya denetim süreçlerinde kullanmak üzere erişmekte ve hukuken yetkili olan kişilerle paylaşmaktadır.
16. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİMLEŞTİRİLMESİ
a. IICS’in kişisel verileri silme, yok etme ve anonimleştirme yükümlülüğü
Türk Ceza Kanunu m. 138, KVKK m. 7 ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik m. 7 uyarınca, ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde Şirketimizin kendi kararına istinaden veya İlgili Kişi’nin talebi üzerine kişisel veriler silinir, yok edilir veya anonim hâle getirilir. Politika’da silme, yok etme ve anonim hale getirme kavramları, Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’te yer alan tanımlar çerçevesinde kullanılmaktadır. Bu kapsamda Kişisel Verileri Saklama ve İmha Politikası hazırlanmıştır.
Şirketimizin KVKK m. 5/2 uyarınca kişisel verileri muhafaza etme hak ve/veya yükümlülüğü olan hallerde İlgili Kişi’nin imha talebini yerine getirmeme hakkı saklıdır.
b. Kişisel verilerin silinmesi, yok edilmesi ve anonimleştirilmesi teknikleri
- Kişisel Verilerin Silinmesi ve Yok Edilmesi Teknikleri
IICStarafından kişisel verilerin silinmesi ve yok edilmesi teknikleri usul ve esasları aşağıda sayılmıştır:
- Fiziksel Olarak Yok Etme: Kişisel veriler herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla da işlenebilmektedir. Bu tür veriler silinirken/yok edilirken kişisel verinin sonradan kullanılamayacak biçimde fiziksel olarak yok edilmesi sistemi uygulanmaktadır.
- Yazılımdan Güvenli Olarak Silme: Tamamen veya kısmen otomatik olan yollarla işlenen ve dijital ortamlarda muhafaza edilen veriler silinirken/yok edilirken; bir daha kurtarılamayacak biçimde verinin ilgili yazılımdan silinmesine ilişkin yöntemler kullanılır.
- Uzman Tarafından Güvenli Olarak Silme: Bazı durumlarda kendisi adına kişisel verileri silmesi için bir uzman ile anlaşabilir. Bu durumda, kişisel veriler bu konuda uzman olan kişi tarafından bir daha kurtarılamayacak biçimde güvenli olarak silinir/yok edilir.
- Karartma: Kişisel verilerin fiziksel olarak okunamayacak hale getirilmesidir.
Yukarıda sayılan durumlar gerçekleşmesi sırasında IICS; KVKK, ikincil mevzuat ve ilgili diğer mevzuat hükümlerine veri güvenliğinin sağlanması amacıyla tam uyum sağlamakta ve gerekli tüm idari ve teknik tedbirleri almaktadır.
- Kişisel Verileri Anonim Hale Getirme Teknikleri
Kişisel verilerin anonimleştirilmesi, kişisel verilerin başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini ifade eder. Şirketimiz, hukuka uygun olarak işlenen kişisel verilerin işlenmesini gerektiren sebepler ortadan kalktığında kişisel verileri anonimleştirebilmektedir.
KVKK m. 28 uyarınca; anonim hale getirilmiş olan kişisel veriler araştırma, planlama ve istatistik gibi amaçlarla işlenebilir. Bu tarz işlemeler KVKK kapsamı dışında olup bu kişisel veriler için İlgili Kişi’nin açık rızası aranmayacaktır.
Şirketimiz tarafından en çok kullanılan anonimleştirme teknikleri aşağıda listelenmektedir:
- Maskeleme
Kişisel verilerin belli alanlarının silinerek veya yıldızlanarak kişiyi belirtemez hale getirilmesidir.
Örn. İlgili Kişi’nin telefon numarasının bir kısmının yıldızlanması durumunda maskeleme söz konusudur.
- Toplulaştırma
Verilerin kümülatif hale getirilerek toplam değerlerin yansıtılmasını ifade eder.
Örn. Şirkette kadın çalışan sayısının %40 ve erkek çalışan sayısının %60 olarak ifade edilmesi.
- Veri Türetme
Mevcut detay verilerin daha genel karşılıklarıyla değiştirilmesidir.
Örn. Doğum tarihi bilgisinin gün/ay/yıl detaylarının yerine kişinin direkt yaşının yazılması durumunda veri türetmek suretiyle anonimleştirme yapılmıştır.
- Veri Karma
Veri kümesi içinde değerlerin karıştırılarak toplam faydaya zarar vermeden kişilerin tespit edilebilirlik özelliğinin yok edilmesini ifade eder.
Örn. Yaş ortalaması alınmak istenen bir işyerinde, çalışanların yaşlarını gösteren değerlerin birbirleriyle değiştirilmesi durumunda veri karması yapılmıştır.
17. İLGİLİ KİŞİLERİN HAKLARI
Şirketimiz KVKK’nın 10. maddesine uygun olarak İlgili Kişi’nin haklarını kendisine bildirmekte, bu hakların nasıl kullanılacağı konusunda İlgili Kişi’ye yol göstermektedir ve Şirketimiz, İlgili Kişiler’in haklarının değerlendirilmesi ve İlgili Kişiler’e gereken bilgilendirmenin yapılması için KVKK’nın 13. maddesine uygun olarak gerekli kanalları, iç işleyişi, idari ve teknik düzenlemeleri yürütmektedir.
a. İlgili Kişiler’in Hakları
İlgili Kişiler aşağıda yer alan hakları haizdir:
- Kişisel veri işlenip işlenmediğini öğrenme,
- Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
- Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
- Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
- Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- KVKK ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
- Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.
b. İlgili Kişi’nin Haklarını İleri Süremeyeceği Haller
İlgili Kişiler, KVKK m. 28 uyarınca aşağıdaki haller KVKK kapsamı dışında tutulduğundan, İlgili Kişiler bu konularda KVKK m. 11’de sayılan haklarını ileri süremezler:
- Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.
- Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.
- Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve koordineli iş faaliyetleri kapsamında işlenmesi.
- Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.
KVKK’nın 28/2 maddesi uyarınca; aşağıda sıralanan hallerde İlgili Kişiler zararın giderilmesini talep etme hakkı hariç, KVKK m. 11’de sayılan diğer haklarını ileri süremezler:
- Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.
- İlgili Kişi’nin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.
- Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.
- Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.
c. İlgili Kişi’nin Haklarını Kullanması
İlgili Kişiler KVKK m. 11’de yer alan haklarına ilişkin taleplerini aşağıda belirtilen yöntemle Şirketimize ücretsiz olarak iletebileceklerdir:
- KIŞISEL VERILERIN KORUNMASI VE İŞLENMESI BILGI TALEP FORMU
adresinde bulunan formun doldurulup ıslak imzalı olarak imzalandıktan sonra İstanbul International Community School Eğitim ve Öğretim Hizmetleri Anonim Şirketi– Karaagac Koyu Mahallesi, Kahraman Caddesi, 27/1 34500 Buyukcekmece, Istanbul Türkiyeadresine şahsen iletilmesi. - IICS_application_form_personal_data_TR adresinde bulunan formun doldurulup ıslak imzalı olarak imzalandıktan sonra İstanbul International Community School Eğitim ve Öğretim Hizmetleri Anonim Şirketi– Karaagac Koyu Mahallesi, Kahraman Caddesi, 27/1 34500 Buyukcekmece, Istanbul Türkiye adresine noter vasıtası ile gönderilmesi.
KIŞISEL VERILERIN KORUNMASI VE İŞLENMESI BILGI TALEP FORMU
Üçüncü kişilerin İlgili Kişiler adına KVKK m. 11’de düzenlenen bilgi alma hakkını kullanmaları mümkün değildir. İlgili Kişi’nin kendisi dışında bir kişiye ilişkin kişisel verilerle ilgili talepte bulunması için konuya ilişkin olarak İlgili Kişi tarafından başvuruda bulunacak kişi adına düzenlenmiş özel vekâletnamenin ıslak imzalı ve noter onaylı aslı ibraz edilmelidir.
İlgili Kişiler’in talep ettiği işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Şirketimiz tarafından KVK Kurulu’nca belirlenen tarifedeki ücret alınacaktır. Bu ücretin yatırılması usulü Başvuru Formu’nda belirtilecektir. Bu ücretin tarif edilen usule uygun olarak yatırılmaması halinde başvurular dikkate alınmayacaktır.
d. İlgili Kişiler’in KVK Kurulu’na Şikâyette Bulunma Hakkı
İlgili Kişiler, KVKK m. 14 uyarınca başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; Şirketimizin cevabını öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün içinde KVK Kurulu’na şikâyette bulunabilir.
18. IICS’NİN BAŞVURULARA CEVAP VERMESİ
İlgili Kişiler’in, talebini Şirketimize iletmesi durumunda Şirketimiz talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ilgili talebi sonuçlandıracaktır.
Şirketimiz, başvuruda bulunan kişinin İlgili Kişi olup olmadığını tespit etmek adına İlgili Kişi’den bilgi/doküman talep edebilir. Şirketimiz, İlgili Kişi’nin başvurusunda yer alan hususları netleştirmek adına, İlgili Kişi’ye başvurusu ile ilgili soru yöneltebilir.
Aşağıda yer alan hallerde başvuruda bulunan kişinin başvurusu, gerekçesi açıklanarak reddedilebilir:
- Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.
- Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.
- Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve koordinasyon faaliyetleri kapsamında işlenmesi.
- Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.
- Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.
- İlgili Kişi tarafından kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.
- Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.
- Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.
- İlgili Kişi’nin talebinin diğer kişilerin hak ve özgürlüklerini engelleme ihtimali olması.
- İlgili Kişi’nin orantısız çaba gerektiren taleplerde bulunulmuş olması.
- Talep edilen bilginin kamuya açık bir bilgi olması.
19. POLİTİKANIN DİĞER ŞİRKET BELGELERİ İLE OLAN İLİŞKİSİ
Politika, Şirketimize ait kişisel verilerin işlenmesine ilişkin temel nitelikteki düzenlemedir. Politika, Şirketimizin benzer amaçlarla oluşturduğu diğer politika, prosedür ve süreçlerle uyum içinde uygulanmak üzere hazırlanmıştır. Şirketimizin benzer amaçlarla hazırladığı başka politika ya da prosedür metinleri arasında herhangi bir çelişki olması halinde kişisel verilerin işlenmesi ile ilgili konularda Politika hükümleri dikkate alınacaktır.
Veri Sorumlusu:
İstanbul International Community Eğitim ve Öğretim Hizmetleri Anonim Şirketi
Adres: Karaagac Koyu Mahallesi, Kahraman Caddesi, 27/1 34500 Buyukcekmece, Istanbul / Turkey
Tel: +902128578264
Fax: +902128578265
İstanbul Ticaret Sicil Müdürlüğü/ sicil no: 301060
www.iics.k12.tr
iics
EK – 1 KISALTMALAR
KISALTMALAR | |
Aydınlatma Tebliği | 10 Mart 2018 tarihli ve 30356 sayılı Resmi Gazete’de yayımlanan Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ |
Anayasa | 9 Kasım 1982 tarihli ve 17863 sayılı Resmi Gazete’de yayımlanan 7 Kasım 1982 tarihli ve 2709 sayılı Türkiye Cumhuriyeti Anayasası |
İlgili Kişi/İlgili Kişiler | IICS ve/veya IICS’nin bağlı Şirketleri/iştiraklerinin müşterileri, ticari ilişki içinde bulunduğu çalışanları, müşteriler, iş ortakları, hissedarları, yetkilileri, aday çalışanları, stajyerleri, ziyaretçileri, tedarikçileri, işbirliği içinde çalıştığı kurumların çalışanları, üçüncü kişiler ve burada sayılanlarla sınırlı olmamak üzere diğer kişiler gibi kişisel verisi işlenen gerçek kişiyi ifade eder. |
Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik | 28 Ekim 2017 tarihli 30224 sayılı Resmi Gazete’de yayımlanan ve 1 Ocak 2018 tarihi itibariyle yürürlüğe giren Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik |
KVKK | 7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazete’de yayımlanarak yürürlüğe giren Kişisel Verilerin Korunması Kanunu |
KVK Kurulu | Kişisel Verileri Koruma Kurulu |
KVK Kurumu | Kişisel Verileri Koruma Kurumu |
m. | Madde |
Örn. | Örnek |
Politika | İstanbul International Community School Eğitim ve Öğretim Hizmetleri Anonim Şirketi Kişisel Verilerin Korunması ve Gizlilik Politikası |
Şirket/IICS | İstanbul International Community School Eğitim ve Öğretim Hizmetleri Anonim Şirketi |
Türk Ceza Kanunu | 12 Ekim 2004 tarihli ve 25611 sayılı Resmi Gazete’de yayımlanan; 26 Eylül 2004 tarihli ve 5237 sayılı Türk Ceza Kanunu |
EK – 2 GÜNCELLEME TABLOSU
Politika’da 12 Mayis 2019 tarihinde güncelleme yapılmıştır. Söz konusu değişiklikler [•]’den oluşmaktadır.
Admissions
Moving to a new school and a new country is a major change. Our Director of Admissions at Istanbul International Community School, Zeliha Öztürk, is happy to answer your questions about IICS, about living in Istanbul, relocation, or any of your schooling concerns.
Email: admissions@iics.k12.tr
Hisar Campus
Rumelihisari Mahallesi,
Nafi Baba Sokak, No:6
Hisarustu / Istanbul 34470
TURKEY
Telephone : +90 212 287 2770
Fax : +90 212 265 0580
Email : info@iics.k12.tr
Maps :
Marmara Campus
Karaagac Koyu Mahallesi,
Kahraman Caddesi, 27/1
Hadimkoy / Istanbul 34500
TURKEY
Telephone: +90 212 857 8264
Fax: +90 212 857 8270
Email: info@iics.k12.tr
Maps :