Kişisel Verilerin İşlenmesi ve Korunmasına İlişkin Düzenleme

İşbu Düzenleme, Platform Moleculs.ai'nin (bundan böyle - Girişimci olarak anılacaktır) yerel normatif eylemidir; başta RF İş Kanunu'nun 14. Bölümü ve 27.07.2006 tarihli N 152-FZ sayılı «Kişisel Veriler Hakkında» Federal Kanun (bundan böyle - Kişisel Veriler Kanunu olarak anılacaktır) olmak üzere ilgili mevzuat gereklilikleri dikkate alınarak hazırlanmıştır.

Düzenlemede şunlar belirlenmektedir:

• kişisel verilerin işlenmesinin amacı, prosedürü ve koşulları;
• kişisel verileri işlenen veri sahiplerinin kategorileri, işlenen kişisel verilerin kategorileri (listeleri), işleme ve saklama yöntemleri ile süreleri, işleme amaçlarına ulaşıldığında veya diğer yasal gerekçelerin ortaya çıkması halinde bu verilerin imha edilme prosedürü;
• kişisel verilerin korunmasına ilişkin hükümler, RF kişisel veri mevzuatı ihlallerinin tespit edilmesi ve önlenmesine, bu tür ihlallerin sonuçlarının giderilmesine yönelik prosedürler.

Düzenlemede, Kişisel Veriler Kanunu'nda tanımlanan anlamlarıyla uyumlu terimler ve tanımlar kullanılmaktadır.

Düzenleme, Girişimci tarafından onaylandığı andan itibaren yürürlüğe girer ve Girişimci tarafından iptal edilene veya yeni bir Düzenleme yürürlüğe girene kadar geçerliliğini korur.

Düzenlemede değişiklik yapılması, Girişimcinin kararıyla gerçekleştirilir. Değişiklikler, ilgili belgenin imzalandığı andan itibaren yürürlüğe girer.

2. Kişisel Veri Sahiplerinin Kategorileri

2.1. Düzenleme kapsamında Girişimci tarafından kişisel verileri işlenen veri sahipleri şunlardır:

• Girişimci bünyesinde işe alınacak adaylar;
• Girişimcinin çalışanları;
• Girişimcinin eski çalışanları;
• Girişimci çalışanlarının aile üyeleri — çalışanın mevzuat gereği onlar hakkında bilgi sunması gereken durumlarda;
• iş mevzuatı ve iş hukuku normlarını içeren diğer düzenlemeler uyarınca Girişimcinin kişisel verilerini işlemekle yükümlü olduğu diğer kişiler;
• Girişimcinin müşterileri, karşı tarafları ve ortakları.

3. Kişisel Verilerin İşlenme Amaçları, İşlenen Kişisel Verilerin Kategorileri

3.1. Düzenleme uyarınca, kişisel veriler; iş ilişkileri ve doğrudan bununla bağlantılı diğer ilişkiler çerçevesinde iş mevzuatının uygulanması ve icra edilmesi, medeni hukuk ilişkilerinin ortaya çıkması, Girişimcinin potansiyel ortaklar, müşteriler ve diğer kişilerle etkileşimi kapsamında ilgili kişi kategorilerinin kişisel verilerinin korunması amacıyla işlenmektedir; bu amaçlar şunları içermektedir:

• istihdama destek sağlanması;
• insan kaynakları ve muhasebe kayıtlarının tutulması;
• çalışanlara eğitim almaları ve kariyer gelişimlerinde destek sağlanması;
• ödül ve teşviklerin düzenlenmesi;
• Girişimci tarafından mevzuatla belirlenen çalışma koşulları, güvenceler ve tazminatların sağlanması;
• gerekli raporlama formlarının doldurulması ve yetkili kurumlara iletilmesi;
• çalışanların ve diğer kişilerin kişisel güvenliğinin ve mülklerin korunmasının sağlanması;
• yapılan işin nicelik ve niteliğinin denetlenmesi;
• kişisel verilerin işlenmesinde kişinin hak ve özgürlüklerinin, özel hayatın dokunulmazlığı ile kişisel ve aile sırlarının korunması haklarının güvence altına alınması;
• iletişim araçları aracılığıyla potansiyel tüketiciyle doğrudan temas kurularak Girişimcinin mal, iş ve hizmetlerinin pazarda tanıtılması;
• Girişimcinin potansiyel ortaklar, müşteriler ve diğer kişilerle karşılıklı yarar sağlayan işbirliği konularında etkileşimde bulunması ve anlaşmalar imzalaması.

3.2. Düzenlemenin 3.1. maddesinde belirtilen amaç doğrultusunda aşağıdaki kişisel veriler işlenmektedir:

• soyadı, adı, baba adı (varsa), önceki soyadı, adı, baba adı (varsa), değiştirilme tarihi ve yeri;
• cinsiyet;
• doğum tarihi (gün, ay, yıl) ve yeri;
• fotoğraf görüntüsü;
• vatandaşlık bilgileri;
• kimlik belgesinin türü, serisi, numarası, düzenleyen kurum adı, düzenlenme tarihi;
• bireysel sigorta hesap numarası (SNILS);
• vergi mükellefi kimlik numarası (INN);
• ikametgah (ikamet yeri) adres ve tescil tarihi, fiili ikamet adresi;
• iletişim telefon numarası, e-posta adresi ve (veya) diğer iletişim yöntemlerine ilişkin bilgiler;
• medeni hal tescil belgelerinin ayrıntıları ve bunlarda yer alan bilgiler;
• medeni durum ve aile yapısına ilişkin bilgiler (akrabalık derecesi, soyadları, adlar, baba adları (varsa), doğum tarihleri ve yerleri);
• eğitim ve (veya) nitelik ya da özel bilgilere sahip olma bilgileri;
• yabancı dil bilgisine ilişkin bilgiler;
• askerlik yükümlülüğüne ilişkin bilgiler, askerlik kaydı ve askerlik belgelerinin ayrıntıları;
• iş geçmişine ilişkin bilgiler ile önceki işyerleri, çalışma dönemleri ve kıdeme ilişkin bilgiler;
• RF topraklarında ikamet etme ve çalışma hakkı veren belgelerde yer alan bilgiler (yabancı uyruklu kişiler için);
• gelir ve icra belgelerine dayalı yükümlülüklere ilişkin bilgiler;
• banka hesap numarası, banka kartı numarası;
• sağlık durumuna ilişkin bilgiler (belirli çalışan kategorileri için);
• sabıka kaydı bulunup bulunmadığına ve (veya) cezai kovuşturma olgusuna ya da aklanma gerekçesiyle cezai kovuşturmanın durdurulmasına ilişkin bilgiler (belirli çalışan kategorileri için);
• mevzuat gereği sunulması gereken belgelerde yer alan ve işlenmesi Düzenlemenin 3.1. maddesinde öngörülen işleme amacıyla uyumlu diğer kişisel veriler.

3.3. Girişimci, RF mevzuatında öngörülen haller dışında, ırk veya milliyet, siyasi görüşler, dini veya felsefi inançlar, özel hayata ilişkin özel kişisel veri kategorilerini işlememektedir.

4. Kişisel Verilerin İşlenme Prosedürü ve Koşulları

4.1. Kişisel verilerin işlenmesine başlamadan önce Girişimci, Roskomnadzor'u kişisel verileri işleme niyeti hakkında bilgilendirmekle yükümlüdür.

4.2. Kişisel verilerin işlenmesinin hukuki dayanağını RF İş Kanunu, iş hukuku normlarını içeren diğer normatif hukuki düzenlemeler, 27.07.2006 tarihli N 152-FZ sayılı «Kişisel Veriler Hakkında» Federal Kanun, 06.12.2011 tarihli N 402-FZ sayılı «Muhasebe Hakkında» Federal Kanun ve 27.11.2006 tarihli N 719 sayılı RF Hükümeti Kararnamesi «Askerlik Kaydı Yönetmeliğinin Onaylanması Hakkında» oluşturmaktadır.

4.3. Kişisel veriler, kişisel veri mevzuatı ve işbu Düzenlemede öngörülen ilkeler ve koşullara uygun olarak Girişimci tarafından işlenmektedir.

4.4. Girişimci tarafından kişisel veriler aşağıdaki yöntemlerle işlenmektedir:

• kişisel verilerin otomatik olmayan işlenmesi;
• elde edilen bilgilerin bilgi-telekomünikasyon ağları üzerinden iletilmesi ile veya iletilmeksizin kişisel verilerin otomatik işlenmesi;
• kişisel verilerin karma işlenmesi.

4.5. Kişisel verilerin işlenmesi, kişisel veri mevzuatında aksi öngörülmedikçe, veri sahibinin kişisel verilerinin işlenmesine ilişkin onayı alınarak gerçekleştirilmektedir.

4.5.1. Veri sahibi tarafından yayılmasına izin verilen kişisel verilerin işlenmesi, Kişisel Veriler Kanunu'nun 10.1. maddesinde öngörülen yasaklar ve koşullara uygun olarak gerçekleştirilmektedir.

4.5.2. Biyometrik kişisel verilerin işlenmesi, yalnızca veri sahibinin yazılı onayı bulunması halinde mümkündür. Kişisel Veriler Kanunu'nun 11. maddesinin 2. bölümünde öngörülen durumlar istisna teşkil etmektedir.

4.6. Girişimci, kişisel verilerin sınır ötesi aktarımını gerçekleştirmemektedir.

4.7. Kişisel veriler; bilgisayar teknolojileri de dahil olmak üzere toplama, kaydetme, sistematize etme, biriktirme, saklama, güncelleme (yenileme, değiştirme), çıkarma, kullanma, anonimleştirme, engelleme, silme ve imha etme yoluyla işlenmektedir.

4.7.1. Girişimci tarafından kişisel verilerin toplanması, kaydedilmesi, sistematize edilmesi, biriktirilmesi ve güncellenmesi şu yollarla gerçekleştirilmektedir:

• orijinal belgeler veya kopyalarının alınması;
• orijinal belgelerin kopyalanması;
• kağıt ve elektronik ortamdaki kayıt formlarına bilgi girilmesi;
• kağıt ve elektronik ortamda kişisel veri içeren belgelerin oluşturulması;
• kişisel verilerin kişisel veri bilgi sistemlerine girilmesi.

4.7.2. Girişimci aşağıdaki bilgi sistemlerini kullanmaktadır:

• kurumsal elektronik posta;
• elektronik belge yönetim sistemi;
• kullanıcı iş istasyonu destek sistemi;
• normatif referans bilgi sistemi;
• personel yönetim sistemi;
• uzaktan erişim kontrol sistemi;
• bilgi portalı.

4.8. Veri sahiplerine ait kişisel verilerin aktarılması (yayılması, sağlanması, erişilmesi), kişisel veri mevzuatı ve Düzenlemede öngörülen hallerde ve prosedüre uygun olarak gerçekleştirilmektedir.

5. Kişisel Verilerin İşlenme ve Saklama Süreleri

5.1. Girişimci tarafından kişisel verilerin işlenmesi aşağıdaki hallerde sona ermektedir:

• kişisel verilerin hukuka aykırı işlenmesi olgusunun tespit edilmesi halinde (işlemin sona erme süresi — bu olgunun tespit tarihinden itibaren üç iş günü içinde);
• işleme amaçlarına ulaşıldığında (bazı istisnalar saklı kalmak kaydıyla);
• veri sahibinin kişisel verilerinin işlenmesine verdiği onayın süresi dolduğunda veya geri çekildiğinde (bazı istisnalar saklı kalmak kaydıyla);
• veri sahibinin kişisel verilerin işlenmesinin durdurulması talebiyle Girişimciye başvurması halinde (işlemin sona erme süresi — talebin alınma tarihinden itibaren en fazla 10 iş günü).

5.2. Kişisel veriler, veri sahibinin kimliğinin tespit edilmesine olanak tanıyan formda, işleme amaçlarının gerektirdiğinden daha uzun süre saklanamaz. İstisna; kişisel verilerin saklama süresinin federal kanun veya veri sahibinin taraf olduğu sözleşme ile belirlendiği hallerdir.

5.3. Kağıt ortamındaki kişisel veriler, RF arşiv mevzuatında bu belgeler için öngörülen saklama süresi boyunca Girişimci tarafından saklanmaktadır.

5.4. Kişisel veri bilgi sistemlerinde işlenen kişisel verilerin saklama süresi, kağıt ortamındaki kişisel verilerin saklama süresiyle örtüşmektedir.

6. Kişisel Verilerin Engellenmesi ve İmha Edilmesi Prosedürü

6.1. Girişimci, kişisel verileri kişisel veri mevzuatında öngörülen prosedür ve koşullar çerçevesinde engellemektedir.

6.2. Kişisel verilerin işlenme amaçlarına ulaşıldığında veya bu amaçlara ulaşma gerekliliğinin ortadan kalkması halinde, kişisel veriler imha edilmekte ya da anonimleştirilmektedir.

6.3. Hukuka aykırı biçimde elde edilen veya işleme amacı için gerekli olmayan kişisel veriler, veri sahibinin doğrulayıcı bilgileri sunduğu tarihten itibaren yedi iş günü içinde imha edilmektedir.

6.4. İşlenmesinin hukuka aykırılığı nedeniyle işlemi durdurulan ve işleminin hukuka uygunluğu sağlanamayan kişisel veriler, hukuka aykırı işleme olgusunun tespit tarihinden itibaren 10 iş günü içinde imha edilmektedir.

6.5. Kişisel veriler, işleme amacına ulaşma tarihinden itibaren 30 gün içinde imha edilmektedir; aksi haller veri sahibinin taraf olduğu sözleşmede, veri sahibi ile Girişimci arasındaki başka bir anlaşmada öngörülmüş olmadıkça ya da Girişimcinin federal kanunlarda öngörülen gerekçelerle veri sahibinin onayı olmaksızın kişisel verileri işleme hakkına sahip olmadığı durumlar söz konusu olmadıkça.

6.6. Kişisel veriler (bunların saklanması kişisel veri işleme amaçları için gerekli değilse), veri sahibinin işleme onayını geri çekme tarihinden itibaren 30 gün içinde imha edilmektedir.

6.7. İmha edilmesi gereken kişisel verileri içeren maddi veri taşıyıcıların (belgeler, sabit diskler, flash sürücüler vb.) ve (veya) bilgi sistemlerindeki bilgilerin seçimi, kişisel verileri işleyen Girişimcinin sorumlu kişisi tarafından gerçekleştirilmektedir.

6.7.2. Kağıt ortamındaki kişisel veriler evrak imha makinesi (shredder) kullanılarak imha edilmektedir. Elektronik ortamdaki kişisel veriler; kişisel verilerin okunmasına veya kurtarılmasına izin vermeyen mekanik bütünlük bozma yöntemiyle ve artık bilgilerin garanti altında silinmesine yönelik yöntem ve araçlarla elektronik ortamdan veri silme yoluyla imha edilmektedir.

6.7.3. Sorumlu kişi, 28.10.2022 tarihli N 179 sayılı Roskomnadzor Emriyle onaylanan Kişisel Verilerin İmhasının Onaylanmasına İlişkin Gereklilikler uyarınca kişisel verilerin imha edildiğini teyit etmektedir.

7. Kişisel Verilerin Korunması

7.1. Veri sahibinin yazılı onayı olmaksızın, federal kanunda aksi öngörülmedikçe, Girişimci kişisel verileri üçüncü kişilere açıklamamakta ve yaymamaktadır.

7.2. Kişisel verilerin korunması amacıyla Girişimci tarafından şunlar atanmakta (onaylanmakta)dır:

• kişisel verilerin işlenmesinin organizasyonundan sorumlu çalışan;
• kişisel verilerin işlendiği görevlerin listesi;
• kişisel veri işleme öngören görevlerde bulunan çalışanların erişebildiği kişisel verilerin listesi;
• kişisel verilerin işlendiği mekanlara giriş prosedürü;
• Girişimcide kişisel verilerin aktarım prosedürü;
• kişisel verilerin işlenmesine onay formu;
• kişisel veri bilgi sistemlerinde işlenirken kişisel verilerin korunması prosedürü;
• iç soruşturma ve denetimlerin yürütülme prosedürü;
• kişisel veri mevzuatı gerekliliklerine uygun olarak kabul edilen diğer yerel normatif düzenlemeler.

7.3. Kişisel veri işleme öngören görevlerde bulunan çalışanlar, gizlilik yükümlülüğünü imzaladıktan sonra bu verilere erişim iznine sahip olmaktadır.

7.4. Kişisel verilerin maddi taşıyıcıları, kilitlenebilir dolaplarda saklanmaktadır (uygulanabilir olduğu durumlarda).

7.5. Girişimcinin bilgi sistemlerinde yer alan kişisel bilgilere erişim, bireysel şifreler aracılığıyla sağlanmaktadır.

7.6. Girişimci, düzenli olarak güncellenen veri tabanlarıyla sertifikalı antivirüs yazılımı kullanmaktadır.

7.7. Kişisel verileri işleyen Girişimci çalışanları, kişisel veri mevzuatı gerekliliklerine yönelik periyodik eğitimden geçmektedir.

7.9. Girişimci tarafından aşağıdaki durumlarda iç soruşturma yürütülmektedir:

• veri sahiplerinin haklarının ihlaline yol açan hukuka aykırı veya kazayla gerçekleşen kişisel veri aktarımı (sağlama, yayma, erişim) halinde;
• kişisel veri mevzuatında öngörülen diğer hallerde.

7.10. Kişisel verilerin işlenmesinin organizasyonundan sorumlu çalışan, kişisel veri mevzuatı gerekliliklerine uyumun iç denetimini gerçekleştirmektedir. İç denetim, iç kontroller biçiminde yürütülmektedir.

7.11. Veri sahiplerinin haklarının ihlaline yol açan hukuka aykırı veya kazayla gerçekleşen kişisel veri aktarımı olgusu tespit edildiğinde iç soruşturma başlatılmaktadır (bundan böyle — olay olarak anılacaktır).

7.11.1. Bir olay meydana geldiğinde Girişimci, 24 saat içinde Roskomnadzor'u şu konularda bilgilendirmektedir: olay, tahmini nedenleri ve veri sahibinin haklarına verilen zarar, olayın sonuçlarını gidermek amacıyla alınan önlemler.

7.11.2. Girişimci, 72 saat içinde Roskomnadzor'u iç soruşturmanın sonuçları hakkında bilgilendirmek ve olaya neden olan kişilere ilişkin bilgi sunmakla yükümlüdür (mevcut olması halinde).

7.12. Kişisel verilerin eksik, hatalı veya güncel olmadığına dair doğrulanmış bilgi sunulması halinde, veriler yedi iş günü içinde güncellenmektedir.

8. Kişisel Verilerin İşlenmesini Düzenleyen Normlara Aykırılık için Sorumluluk

8.1. Kişisel verilerin işlenmesinde RF kişisel veri mevzuatı hükümlerini ihlal etmekten sorumlu kişiler, RF İş Kanunu ve diğer federal kanunlarca belirlenen prosedür çerçevesinde disiplin ve mali sorumluluğa tabi tutulmaktadır. Ayrıca federal kanunlarca belirlenen prosedür çerçevesinde idari, hukuki veya cezai sorumluluğa da tabi tutulmaktadırlar.

8.2. Veri sahibinin haklarının ihlali, kişisel veri işleme kurallarının çiğnenmesi ve koruma gerekliliklerine uyulmaması nedeniyle veri sahibine verilen manevi zarar, RF mevzuatına uygun olarak tazmin edilmektedir. Manevi zararın tazmini, maddi zararın tazmininden ve veri sahibinin katlandığı kayıpların giderilmesinden bağımsız olarak gerçekleştirilmektedir.