Kişisel Veri Koruma Politikası

1. Tanımlamalar ve Kısaltmalar

Terim	Tanım/Açıklama
Kurum	İller Bankası Anonim Şirketi
BGYS	Bilgi Güvenliği Yönetim Sistemi
BTDB	Bilgi Teknolojileri Dairesi Başkanlığı
KVKK	7 Nisan 2016 tarihli ve 29677 sayılı Resmî Gazetede yayımlanan, 24 Mart 2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu
Anayasa	9 Kasım 1982 tarihli ve 17863 sayılı Resmî Gazetede yayımlanan; 7 Kasım 1982 tarihli ve 2709 sayılı Türkiye Cumhuriyeti Anayasası.
TCK	12 Ekim 2004 tarihli ve 25611 sayılı Resmî Gazetede yayımlanan, 26 Eylül 2004 tarihli ve 5237 sayılı Türk Ceza Kanunu
Türk Ticaret Kanunu	14 Şubat 2011 tarihli ve 27846 sayılı Resmî Gazetede yayımlanan, 13 Ocak 2011 tarihli ve 6102 sayılı Türk Ticaret Kanunu
Kişisel veri	Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi. Dolayısıyla tüzel kişilere ilişkin bilgilerin işlenmesi Kanun kapsamında değildir. (Örn. Ad ? soyad, TCKN, e-posta, adres, doğum tarihi, kredi kartı numarası)
Özel nitelikli kişisel veri	Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler
Kişisel verilerin işlenmesi	Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem
Kayıt ortamı	Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam
Veri sorumlusu	Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, verilerin sistematik bir şekilde tutulduğu yeri (veri kayıt sistemi) yöneten kişi
Veri İşleyen	Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişi. (Örn. Kurum adına verileri tutan bulut bilişim firması)
Veri kayıt sistemi	Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi
Açık rıza	Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza
Alıcı grubu	Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi
İmha	Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi
Anonim hale getirme	Kişisel verinin, kişisel veri niteliğini kaybetmesi ve bu durumun geri alınamayacak şekilde değiştirilmesidir. Ör: Maskeleme, toplulaştırma, veri bozma vb. tekniklerle kişisel verinin bir gerçek kişi ile ilişkilendirilemeyecek hale getirilmesi.
Karartma	Kişisel verilerin bütünlüğünün, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek şekilde üstlerinin çizilmesi, boyanması ve buzlanması gibi işlemler
Maskeleme	Kişisel verilerin belli alanlarının, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek şekilde silinmesi, üstlerinin silinmesi, boyanması ve yıldızlanması gibi işlemler
İş birliği içinde olduğumuz kurum ve kuruluşların çalışanları, hissedarları ve yetkilileri	İller Bankası Anonim Şirketi?nin her türlü iş ilişkisi içerisinde bulunduğu kurumlarda (iş ortağı, tedarikçi gibi, ancak bunlarla sınırlı olmaksızın) çalışan, bu kurumların hissedarları ve yetkilileri dâhil olmak üzere, gerçek kişiler
İlgili kişi	Kişisel verisi işlenen gerçek kişi
Üçüncü kişi	Politika kapsamında farklı bir şekilde tanımlanmamış olan, kişisel verileri politika kapsamında işlenen gerçek kişiler (Örn. Kefil, refakatçi, aile bireyleri ve yakınlar)

2. Veri Koruma Kuralları

Kurumumuz, kuruluş amacı, benimsemiş olduğu vizyon, misyon ve temel değerleri gereğince iş süreçlerini yerine getirmek için teknolojik kaynak ve altyapıları da kullanarak ?bilinmesi gereken? prensibi ilkesinde kişisel ve özel nitelikli kişisel verileri işler. Verilerin işlenmesinde kanunun 4. maddesinde belirtilen ilkeler ve 12. maddesi gereği alınması gereken tedbirler göz önünde bulundurularak işlem yapılmaktadır. Kayıt ortamları elektronik veriler için bilişim sistemi sunucuları, uygulamaları, kurumsal bilgisayar ve depolama ortamları ile birlikte basılı dokümanlar için ofislerdeki kilitli dolaplar ve arşivlerdir.

Kurumun sahip olduğu tüm kişisel veriler, veri korunmanın sağlıklı bir şekilde gerçekleştirilmesini sağlamak amacıyla bu politikaya uygun olarak tutulur.
Kurumumuzun genel prensibi olarak, hiçbir kişisel veri gerektiğinden daha uzun süre tutulmaz.
Kişisel verilerin işlenmesi için gereken nedenler ortadan kalktığında, kişisel veriler imha edilir.
Kurumumuz, kişisel verileri daha uzun süre tutmak için meşru ticari nedenlere sahip olabilir. Bu, Kurum tarafından bir sonraki tarihe kadar belirgin olmayan projelerle ilgili bir hak talebinde bulunulması halinde kişisel veri kayıtlarının tutulmasının gerekliliği gibi durumlar olabilir. Verilerin saklanma süreleri belirlenirken bu gibi durumların ortaya çıkma olasılığı dikkate alınır.
Kurumun yasal gerekliliklere uymak için belirli bir süre için kişisel verileri tutması gerekebilir.
Kurum, sahip olduğu kişisel verileri türlerine göre kategorize eder (iletişim bilgileri, kimlik bilgileri, finansal bilgiler vb.) ve gerekli gördüğü türdeki kişisel veriler için farkı koruma süreleri belirleyebilir.
Kurum, kişisel verilerin saklanması ile ilgili alınan tüm kararları kaydeder.
Kurum, e-postalar dâhil olmak üzere, bilgisayarlarda depolanan kişisel verilerin otomatik olarak yedeklenip yedeklenmediğini ve bu yedeklemelerin nasıl silineceğini veya arşivlenen kişisel verilerin belirli bir süre sonra otomatik olarak silinmesini sağlayıp sağlayamayacağını kendisi değerlendirerek karar verir.
Gizli kâğıt kayıtları, kilitli bir dosya dolabında, çekmecede veya kasada, sınırlı erişimle saklanır.
Dijital veriler, hem yerel bir sabit diskte hem de düzenli olarak yedeklenen bir ağ sürücüsünde şifrelenerek korunur.
Verilerin taşınabilir depolama birimine veya taşınabilir bir cihaza kaydedildiği durumlarda, cihaz kullanılmadığı zaman kilitli bir dosya dolabında, çekmecede veya kasada saklanır.
USB bellek veya hard diskler parola korumalı veya tamamen şifreli olmadığı sürece kişisel veri transferi için kullanılmaz.
Tüm elektronik cihazlar hırsızlık durumunda üzerindeki bilgileri korumak için şifre korumalıdır.
Hassas ve gizli bilgileri içeren e-postalar, gönderen ve alıcı arasında güvenli olmayan sunucular varsa parola korumalıdır.
Grup e-postalarında bilgilendirilmesi gereken kişiler bcc olarak gönderilir, böylece e-posta adresleri diğer alıcılara açıklanmaz.
Kişisel verileri içeren tüm e-postalar şifrelenir.
Kişisel verileri içeren tüm e-postalar ?gizli? olarak işaretlenir.
Kişisel veriler sadece güvenli ağlar üzerinden iletilir.
Uygun bir kablolu ağ alternatifi varsa, kişisel veriler kablosuz ağ üzerinden iletilmez.
Gönderilen veya alınan bir e-postanın içerisindeki kişisel veriler, bu e-postanın içerisinden kopyalanmalı ve güvenli bir şekilde saklanmalıdır. E-postanın kendisi ve içinde ekli olan dosyalar silinir.
Kişisel verilere erişim kayıtları toplanır ve değerlendirilir.
Kişisel verilerin faks ile gönderileceği durumlarda, alıcı önceden bilgilendirilir ve gönderiyi güvenli bir şekilde alması sağlanır.
Kişisel verilerin basılı formda aktarılması gerektiği durumlarda, basılı kopya doğrudan alıcıya iletilir.
Fiziksel olarak transfer edilen tüm kişisel veriler, ?gizli? olarak işaretlenmiş olarak uygun koruma önlemleri olan alanlarda gönderilir.
Fiziksel ortamlarda saklanan tüm elektronik kopyalarla birlikte kişisel verilerin tüm kopyaları güvenli bir şekilde saklanmalıdır;
Herhangi bir çalışan, temsilci, yüklenici veya diğer taraflara, söz konusu taraf Kurum adına çalışıyor olsa bile, izinsiz olarak, hiçbir kişisel veri aktarılmaz.
Hiçbir koşul altında, ziyaretçilerin gizli veya kişisel bilgilere erişmesine izin verilmez.
Kişisel veri içeren bilgisayarlar, gözetimsiz bırakılmadan önce daima kilitlenir.
Kişisel veriler, sadece söz konusu tarafın tam olarak uymayı kabul ettiği Kurum varlıklarında kayıtlı cihazlara aktarılabilir, herhangi bir cihaza kişisel cihaza veriler aktarılmaz.
Elektronik olarak saklanan tüm kişisel veriler şifrelenmiş olarak yedeklenir.
Kişisel verilerin korunması için kullanılan tüm şifreler düzenli olarak değiştirilir ve güvenli/güçlü şifreler kullanılır.
Kurum adına çalışan tüm personel ve diğer taraflar, bireysel sorumlulukları, KVKK ve de Kurum?un Veri Koruma Politikası kapsamındaki sorumluluklarını tam olarak bilmelidir.
İş süreçleri içerisinde kişisel veriler ile ilgili risk analizleri gerçekleştirilir.
Kurum personeli ve diğer taraflar Kurum tarafından toplanan kişisel verilere sadece işlerini yapabilmeleri için erişir ve kullanır.
Kişisel verilerle çalışan tüm personel ve diğer taraflar uygun şekilde denetlenir.
Tüm Kurum personeli Veri Koruma Politikasına uygun çalışmaktan sorumludur, belirtilen hususlara uyulmadığı takdirde İnsan Kaynakları Yönetmeliği?ne göre işlem yapılır.

3. Veri İşleme Kapsamı

Kurumda işlenen veriler genel olarak:

Çalışan Personel Dosyası: İlgili kişinin; kimlik bilgilerini, iletişim bilgilerini, ikametgâh bilgilerini, eğitim bilgilerini, sağlık bilgilerini, disiplin ve soruşturma bilgilerini, mali bilgilerini, pasaport bilgilerini, SGK bilgilerini, özgeçmiş bilgilerini, atama bilgilerini, kapsayabilir.

Aday Personel Dosyası: İletişim bilgilerini, ikametgâh bilgilerini, eğitim bilgilerini, disiplin ve soruşturma bilgilerini, SGK bilgilerini, özgeçmiş bilgilerini, değerlendirme bilgilerini kapsayabilir.

Ayrılan Personel Dosyası: İlgili kişinin; kimlik bilgilerini, iletişim bilgilerini, ikametgâh bilgilerini, eğitim bilgilerini, sağlık bilgilerini, disiplin ve soruşturma bilgilerini, mali bilgilerini, pasaport bilgilerini, SGK bilgilerini, özgeçmiş bilgilerini, atama bilgilerini, işten ayrılma bilgilerini kapsayabilir.

Proje Dosyası: İlgili kişinin; kimlik bilgilerini, iletişim bilgilerini, mali bilgilerini, proje fikirlerini, özgeçmiş bilgilerini, eğitim bilgilerini kapsayabilir.

Etkinlik Kayıtları: İlgili kişinin; kimlik bilgilerini, iletişim bilgilerini, özgeçmiş/biyografi, kamera ve fotoğraf bilgilerini kapsayabilir.

Sözleşmeler: İlgili kişinin; kimlik bilgilerini, iletişim bilgilerini, ikametgâh bilgilerini, eğitim bilgilerini, sağlık bilgilerini, disiplin ve soruşturma bilgilerini, mali bilgilerini, SGK bilgilerini, kurum bilgilerini, özgeçmiş bilgilerini kapsayabilir.

Dava Dosyaları: İlgili kişinin; adli sicil bilgileri, mahkûmiyet bilgileri, kimlik bilgilerini, iletişim bilgilerini, dava bilgilerini kapsayabilir.

Kurum, tarafından kişisel veriler aşağıda belirtilen amaç ve hukuki sebepler gibi, ancak bunlarla sınırlı olmayan, benzer amaç ve sebeplerle işlenebilir.

İş sözleşmesinin ifası için gerekli amacın yerine getirilmesi, özellikle;

Çalışanların izin onayı, bakiye izinlerin görüntülenmesi, izin düzenlemelerinin yapılması
Çalışanların işten çıkış işlemlerinin yapılması
Bordro işlemlerinin yapılmasının sağlanması
Çalışanlara maaş ödemelerinin yapılması

İş Kanunu, İş Sağlığı ve Güvenliği Kanunu, Sosyal Güvenlik Kanunu ve ilgili mevzuat ile diğer kanunlar ve mevzuat kapsamında gereklilikleri yerine getirmek amacıyla özellikle;

Personel özlük dosyasının oluşturulması
SGK bildirimleri, İŞKUR bildirimleri, karakol bildirimi ile teşvik ve yasal yükümlülük bilgilendirmesinin yapılması
Çalışanların giriş çıkış kayıtlarının kontrolü
İcra dosyalarına çalışanların maaş haciz kesintilerine ilişkin ödeme yapılması
İş kazasının yasal bildirimlerinin yapılması
İş sağlığı ve güvenliği işlemlerinin yapılması
Mevzuat, ilgili düzenleyici kurumlar ve diğer otoritelerce öngörülen diğer bilgi saklama, raporlama, bilgilendirme yükümlülüklerine uymak
Mahkeme kararlarının yerine getirilmesi

Kurum içerisinde güvenliğin sağlanması amacıyla özellikle;

İşyeri güvenliğinin sağlanması
Kurum binalarına çalışanın giriş çıkışının temin edilmesi

Kurum idaresi, işin yürütülmesi, şirket politikalarının uygulanması amacıyla, özellikle;

Kurum çalışanlarının performanslarının takibi ve raporlanması
Çalışanlara masraf ödemelerinin yapılması
Çalışan verilerinin İLBİS portalına girilerek çalışan sayfasının oluşturulması, mevcut verilerin güncellenmesi
Çalışanlarla iletişimin sağlanması
Kendisine araç tahsis edilen veya kullandırılan çalışanın araba kullanmaya ehil olduğunun, ehliyetini herhangi bir nedenle kaybetmediğinin teyit edilmesi
Çalışana araç tedarik edilmesi ve park yeri ayarlanmasının sağlanması
Kargo ve kurye aracılığıyla gelen paketlerin ilgili çalışana iletilmesinin sağlanması
Çalışanların güvenliği ve işin yürütülmesi için Kurum aracı kullanımının takip edilmesi.
Servis ve seyahat organizasyonunun sağlanması
Outlook'a çalışan verilerinin girilerek çalışanın iş e-postasının oluşturulması
Çalışanlarla ilgili araştırma projeleri yürütülmesi
Çalışanların işe giriş ve çıkışlarının kontrolünün sağlanması
Çalışanların işe başvuru ve mülakatı süresince toplanan belgelerinin kayıt altına alınması
Kutlama amaçlı iletişimin sağlanması
Eğitim planlamasının yapılması, eğitimlerin raporlaması, eğitim sertifikalarının hazırlanması, gerçekleşen eğitimlere katılan çalışanların takip edilebilmesi, çalışanların aldıkları eğitimler sonucu gelişim süreçlerinin takip edilebilmesi
Kalite kontrolün sağlanması
Acil durumlarda ilgili kişilerle iletişim sağlanması

durumları kapsam dahilindedir.

GÜNCEL DUYURULAR

2024 Yılı Olağan Genel Kurul Toplantısına Davet Bankamız 2024-2028 Stratejik Planı yayınlanmıştır. 2022 Yılı Altyapı Tesisleri Birim Fiyatlarına ait Düzeltme Listesi yayınlanmıştır Beton/Betonarme Boru ve Entegre Conta Fabrika Listeleri 2017 yılı atıksu tesisleri birim fiyat cetveli düzeltme listesi Bankamız Birim Fiyat Cetvelleri İLBANK Sosyal Tesisleri Betonarme Boru Donatılandırma Tip Projesi Sigorta Acenteliği