Emeklilik Gözetim Merkezi

Versiyon 2.0
Son güncelleme tarihi: 23.06.2023

1. GİRİŞ

1.1. Politikanın Amacı ve Kapsamı

6698 sayılı Kişisel Verilerin Korunması Kanunu ("Kanun") 7 Nisan 2016 tarihinde yürürlüğe girmiş olup; işbu Emeklilik Gözetim Merkezi Anonim Şirketi Kişisel Verilerin İşlenmesi ve Korunması Politikası ("Politika"), Emeklilik Gözetim Merkezi Anonim Şirketi ("EGM") Kanun'a uyumluluğunun sağlanmasını ve EGM tarafından kişisel verilerin korunması ve işlenmesine ilişkin yükümlülüklerin yerine getirilmesinde uyulacak prensiplerin belirlenmesini amaçlamaktadır.

Politika, kişisel verilerin işleme şartlarını belirlemekte ve kişisel verilerin işlenmesinde EGM tarafından benimsenen ana ilkeleri ortaya koymaktadır. Bu çerçevede Politika, EGM tarafından Kanun kapsamındaki tüm kişisel veri işleme faaliyetlerini, EGM’nin işlediği tüm kişisel verilerin sahiplerini ve işlediği tüm kişisel verileri kapsamaktadır.

EGM çalışanlarının kişisel verilerinin işlenmesine ilişkin hususlar, işbu Politika’nın kapsamında olmayıp, Emeklilik Gözetim Merkezi Anonim Şirketi Çalışan Kişisel Verilerinin İşlenmesi ve Korunması Politikası’nda ayrıca düzenlenmektedir.

Politika’da kullanılan terimlere ilişkin tanımlar EK-1’de bulunmaktadır.

2. ŞİRKETİMİZİN YÜRÜTTÜĞÜ KİŞİSEL VERİ İŞLEME FAALİYETLERİNE YÖNELİK VERİ SAHİPLERİ, VERİ KATEGORİLERİ VE VERİ İŞLEME AMAÇLARI

2.1. Veri Sahipleri

Politika kapsamındaki veri sahipleri, EGM tarafından kişisel verileri işlenmekte olan ve EGM çalışanları dışındaki tüm gerçek kişilerdir. Bu çerçevede genel olarak veri sahibi kategorileri aşağıdaki şekildedir:

1	Aktüer	Hazine ve Maliye Bakanlığı nezdinde tutulan aktüerler siciline kayıtlı gerçek kişidir.
2	Aracı	Bireysel emeklilik sözleşmelerine aracılık eden veya bunları emeklilik şirketi adına yapan gerçek kişidir.
3	Aracı Adayı	EGM tarafından düzenlenen bireysel emeklilik aracıları sınavına başvuran kişidir.
4	Banka Çalışanı	EGM'nin çalıştığı bankalarda, soruları cevaplamanın ve işlemleri gerçekleştirmenin yanı sıra diğer banka işlerine yardımcı olmakla görevli kişidir.
5	Çalışan Adayı	EGM’ye CV göndererek veya başka yöntemlerle iş başvurusu yapan gerçek kişidir.
6	Danışman	EGM'nin çalıştığı alanlarla ilgili bilgi ve düşüncesine başvurulan, doğru kararlar alınması için yol gösteren görevli kişidir.
7	Davalı/ Davacı	Mahkeme nezdinde herhangi bir dava karşısında EGM'ce dava edilen ve/veya EGM'yi dava eden kişidir.
8	Denetim Elemanı (SEDDK, bağımsız denetim vb.)	Kamu kurum ve kuruluşları ile bağımsız denetim şirketleri adına denetlemeyle görevlendirilmiş yetkili meslek personelidir.
9	E-Bülten Üyesi	EGM WEB sayfasında yer alan E-Haber bültenine üyelik için başvuran kişidir.
10	Emeklilik Şirket Yetkilisi	Emeklilik şirketlerinde şirketi ilgilendiren konularda karar alma ve /veya uygulama yetkisine sahip kişidir.
11	İş Ortağı	EGM'nin iki ya da daha fazla kişi ile kişilerden her birinin işin belli bir kısmını yapmak maksadı ile katkılarını birleştirdiği gerçek kişidir.
12	İşveren Gerçek Kişi	Bir iş sözleşmesine dayanarak işçi çalıştıran gerçek kişi yahut tüzel kişiliği olmayan kurum ve kuruluştur.
13	Katılımcı	Herhangi bir emeklilik sözleşmesi tarafı olan bireysel emeklilik hesabı bulunan gerçek kişiyi ifade etmektedir.
14	Plaza Yetkilisi	EGM faaliyetlerini yürüttüğü işyerinin içinde bulunduğu plazanın yönetiminden sorumlu olan kişidir.
15	Portföy Yönetim Şirket Yetkilisi	Portföy Yönetim Şirketlerinin şirketi ilgilendiren konularda karar alma ve /veya uygulama yetkisine sahip kişidir.
16	Sektörün düzenleyici kurumunda çalışan kamu personeli	SEDDK çalışanıdır.
17	Sınav adayı	EGM tarafından sağlanan e-sınav hizmetlerini kullanan kurumların sınavlarına giren kişidir.
18	Sigorta Şirketleri Çalışanı	Sigorta Şirketi personelidir.
19	Şikayet ve Bilgi Talebi Sahipleri (Bize Ulaşın)	EGM WEB sayfasında yer alan bize ulaşın başvuru linki üzerinden soru, şikayet, ihbar ve öneri ileten kişidir.
20	Tedarikçi Yetkilisi	EGM'nin mal ve hizmet tedarik ettiği kişi veya kuruluşlardaki tedarik sürecinin yönetim faaliyetlerinde kontrol, teftiş, gözleme, yürütme ve yönetme iş, işlemlerinden sorumlu olan kişidir.
21	Ürün veya Hizmet Alan Kişi	Bir ürünü veya hizmeti para karşılığı alan kişidir.
22	VASA Üyesi	Üyelerine veya çalışanlarına emekliliğe yönelik taahhütte bulunan dernek, vakıf, sandık, tüzel kişiliği haiz meslek kuruluşu veya sair ticaret şirketinin çalışanları, hak sahibi ya da emeklisidir.
23	VASA Yetkilisi	Üyelerine veya çalışanlarına emekliliğe yönelik taahhütte bulunan dernek, vakıf, sandık, tüzel kişiliği haiz meslek kuruluşu veya sair ticaret şirketinin işlemlerini yürütmekle yetkilendirilmiş kişidir.
24	Veli / Vasi / Temsilci	- Velayet altındaki küçüğü temsil eden, - Ana veya babanın velayeti altında olmayan küçükler ile kısıtlı ergin kimselerin kişiliği ve malvarlığı ile ilgili tüm menfaatlerini korumak ve hukuki işlemlerinde onu temsil etmekle yükümlü olan, - Temsil kurumunda bir hukuki işlemi başkası adına yapan - İşletme sahibinin, ticari işletmeyi yönetmek ve işletmeye ilişkin işlemlerde ticaret unvanı altında, ticari temsil yetkisi ile kendisini temsil etmek üzere, açıkça ya da örtülü̈ olarak yetki verdiği gerçek kişileri ifade etmektedir.
25	Vergi Daireleri Çalışanı	Vergi Dairelerinde çalışan personeldir.
26	Veri talebi karşılanan üçüncü kişi	EGM'den veri talebinde bulunan üniversitelerde tez çalışmaları gerçekleştiren akademisyen, Türkiye Sigorta Ve Reasürans Şirketleri Birliği çalışanı gibi gerçek kişilerdir.
27	Web Sitesindeki Uygulamaları Kullanan Kişi	EGM WEB sitesinde ve/veya EGM’ye ait herhangi bir platformda yer alan uygulamaları kullanan gerçek kişidir.
28	Yönetim Kurulu Üyesi	EGM’nin hisse senedine sahip olan kişi ve kuruluşlar ile bu kuruluşların temsilci ve yetkilisidir.
29	Ziyaretçi	EGM, yerleşke, mobil uygulaması ve internet sitesini ziyaret eden gerçek kişileri ifade etmektedir.

Veri sahibi kategorileri genel bilgi paylaşımı amacıyla belirtilmiştir. Veri sahibinin, bu kategorilerden herhangi birinin kapsamına girmemesi, Kanun’da belirtildiği şekilde veri sahibi niteliğini ortadan kaldırmamaktadır.

2.2. Kişisel Veri Kategorileri

EGM tarafından aşağıdaki kategorize edilmiş kişisel ve özel nitelikli kişisel veriler, Kanun’da ve ilgili mevzuatta yer alan kişisel veri işleme şartlarına uygun olarak aşağıdaki amaçlarla işlenmektedir:

KİŞİSEL VERİ KATEGORİZASYONU	AÇIKLAMA
Kimlik Bilgisi	Ad Soyad, Anne Adı, Anne Kızlık Soyadı, Baba Adı, Cinsiyet, Çalışanın eşinin doğum tarihi, Doğum Tarihi, Doğum Yeri, Evlilik cüzdanı fotokopisi, İmza, Medeni Hali, Nüfus Cüzdanı Bilgisi ve fotokopisi, Nüfus Cüzdanı Fotokopisi, Pasaport Bilgisi, Tc Kimlik No, Uyruk, Vefat Tarihi, Vukuatlı Nüfus Cüzdanı Örneği gibi dokümanlarda yer alan kişinin kimliğine dair tüm bilgiler.
İletişim Bilgisi	Adres, Cep Telefonu No, E-Posta Adresi, Faks, İletişim Adresi, İşyeri Bilgisi, Kayıtlı Elektronik Posta Adresi (Kep), Telefon No gibi veri sahibiyle iletişim kurulmasına yönelik bilgiler.
Özlük Bilgisi	Bordro bilgileri, işe giriş-çıkış belgesi kayıtları, ücret bilgisi gibi bir işletmenin bünyesinde çalışan kişi için gerekli bilgilerin ayrı ayrı tutulması gereken çalışan kayıt dosyası için gerekli bilgiler
Hukuki İşlem Bilgisi	Adli makamlarla yazışmalardaki bilgiler, dava dosyasındaki bilgiler, icra, maaş haczi ve nafaka bilgileri gibi hukuki alacak ve hakların tespiti, takibi ve borçların ifası ile kanuni yükümlülükler ve EGM’nin politikalarına uyum kapsamında işlenen sair hukuki bilgiler
Müşteri İşlem Bilgisi	Anket bilgisi, çağrı merkezi kayıtları, çek bilgileri, fatura, gişe dekontlarındaki bilgiler, müşteri no, senet, sipariş bilgisi, talep bilgisi gibi bilgiler
Fiziksel Mekân Güvenlik Bilgisi	Fiziksel mekâna girişte alınan bina/ofis giriş çıkış kayıtları, çalışan ve ziyaretçilerin giriş çıkış kayıt bilgileri, ziyaret bilgileri, kamera kayıtları gibi kayıtlar ve belgelere ilişkin kişisel veriler.
İşlem Güvenliği Bilgisi	İnternet erişim kayıt log'ları, internet sitesi giriş çıkış bilgileri, ıp adresi bilgileri, sistem ve uygulama kullanıcı hesap bilgileri (kullanıcı adları, e-mail hesapları, son logon tarihleri vb), şifre ve parola bilgileri gibi ticari faaliyetlerimizi yürütürken teknik, idari, hukuki ve ticari güvenliğimizi sağlamamız için işlenen kişisel veriler
Finansal Bilgi	Banka hesap bilgileri, bilanço bilgileri, borç bakiyesi, finansal performans bilgileri, IBAN, kredi kartı bilgileri cvv, kredi kartı numarası, kredi kartı son kullanma tarihi, kredi ve risk bilgileri, sözleşme/sertifika no gibi EGM’nin kişisel veri sahibi ile kurmuş olduğu hukuki ilişkinin tipine göre yaratılan her türlü finansal sonucu gösteren bilgi, belge ve kayıtlara ilişkin işlenen kişisel veriler.
Mesleki Deneyim	Diploma bilgileri, gidilen kurslar, meslek içi eğitim bilgileri, sertifikalar, transkript bilgileri gibi kişinin mesleki süreçlerine ilişkin kişisel veriler
Görsel ve İşitsel kayıtlar	Fotoğraf, ses kaydı ve video kaydı gibi kayıtlar ile alınarak işlenen kişisel veriler.
Sağlık Bilgileri	Engellilik Bilgileri gibi kişinin sağlığı ile ilgili özel nitelikli kişisel veriler
Özel Nitelikli Veri	Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veriler.
Diğer	Bireysel Emeklilik Sözleşme Verisi, Çocuk Bilgisi, Denetim Bilgileri, Seyahat Bilgisi, Web sayfası, Hobiler, Sosyal Aktiviteler, Üye Olunan Kulüpler bilgisi gibi kişisel veriler

2.3. Faaliyetler Bazında İşlenen Kişisel Veriler ve Kişisel Veri İşleme Amaçları

Aşağıda listelenen faaliyetler kapsamındaki kişisel veriler ve özel nitelikli kişisel veriler, EGM tarafından Kanun’da ve ilgili mevzuatta yer alan kişisel veri işleme şartlarına uygun olarak aşağıdaki amaçlarla işlenebilmektedir

FAALİYETLER	İŞLENEN KİŞİSEL VERİLER	İŞLEME AMAÇLARI
Aktüeryal Denetim Portalına aktüerlerin kaydolması	Kimlik İletişim Mesleki Deneyim Diğer (Web Sayfası) Özlük	Denetim / Etik Faaliyetlerinin Yürütülmesi İletişim Faaliyetlerinin Yürütülmesi
Aktüeryal Denetim Portalına VASA yetkilisinin kaydolması	Kimlik İletişim Mesleki Deneyim	İletişim Faaliyetlerinin Yürütülmesi Denetim / Etik Faaliyetlerinin Yürütülmesi
BES-Mobil App uygulaması kullanım	Kimlik İletişim	Mal/ Hizmet/ Üretim ve Operasyonel Süreçlerin Yürütülmesi
Bireysel emeklilik aracılarına ilişkin E-Beas sınav ve sicil işlemleri	Kimlik Ceza Mahkûmiyeti Ve Güvenlik Tedbirleri İletişim Finans Mesleki Deneyim Görsel ve İşitsel Kayıtlar Özlük Müşteri İşlem	Faaliyetlerin Mevzuata Uygun Yürütülmesi Finans ve Muhasebe Hizmetlerinin Yürütülmesi Talep / Şikayetlerin Takibi Diğer (Sınav güvenliğinin sağlanması)
Bina Giriş Çıkışlarının Takibi (Ziyaretçi Takibi)	Kimlik Fiziksel Mekân Güvenliği İletişim	Bilgi Güvenliği Süreçlerinin Yürütülmesi Fiziksel Mekan Güvenliğinin Temini Ziyaretçi Kayıtlarının Oluşturulması Ve Takibi
Finans ve Muhasebe Faaliyetlerinin Yürütülmesi Amacıyla İş Ortaklarıyla Yapılan İletişim Faaliyetleri	İletişim Kimlik Mesleki Deneyim	Denetim / Etik Faaliyetlerinin Yürütülmesi Finans ve Muhasebe Hizmetlerinin Yürütülmesi
Personel seçme-yerleştirme süreçlerinde çalışan adayının; başvuru, görüşme, değerlendirme vb. tüm aşamalarını kapsayan faaliyetler	Kimlik Diğer ( Acil durumlarda aranacak kişi) İletişim Özlük Ceza Mahkûmiyeti Ve Güvenlik Tedbirleri Sağlık Bilgileri Mesleki Deneyim Görsel ve İşitsel Kayıtlar	Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi Çalışan Adayı / Stajyer / Öğrenci Seçme Ve Yerleştirme Süreçlerinin Yürütülmesi İletişim Faaliyetlerinin Yürütülmesi İnsan Kaynakları Süreçlerinin Planlanması
E-plan / Ek Fayda uygulamasında yetkili kullanıcıların belirlenmesi	Kimlik İletişim Mesleki Deneyim	Erişim Yetkilerinin Yürütülmesi
İnternet erişim izlerinin takip edilmesi	İşlem Güvenliği	Bilgi Güvenliği Süreçlerinin Yürütülmesi Faaliyetlerin Mevzuata Uygun Yürütülmesi
Muhasebat Genel Müdürlüğü’nden Otomatik Katılım Sistemi verilerinin işlenmesi	Finans Kimlik Özlük	Faaliyetlerin Mevzuata Uygun Yürütülmesi Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi
E-Haber Kayıt İşlemleri	İletişim	Faaliyetlerin Mevzuata Uygun Yürütülmesi
e-imza kayıt işlemleri	Kimlik İletişim Mesleki Deneyim	Görevlendirme Süreçlerinin Yönetimi
İşveren Takip Sistemi	İletişim Kimlik	Faaliyetlerin Mevzuata Uygun Yürütülmesi Mal/ Hizmet/ Üretim ve Operasyonel Süreçlerin Yürütülmesi
Gözetime esas veriler ve bu veriler kapsamında alınan katılımcı bilgi nesnesi	Müşteri İşlem Kimlik Finans Mesleki Deneyim İletişim	Faaliyetlerin Mevzuata Uygun Yürütülmesi
Gelir İdaresi Başkanlığı Veri Paylaşımı	Kimlik İletişim Finans	Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi
Yetkili kamu kurumlarından Kurumumuza ulaşan resmi yazılar	Kimlik Diğer (Bireysel Emeklilik Sözleşme Verisi, Denetim Bilgileri) Özlük İletişim Finans Müşteri İşlem Hukuki İşlem Engellilik Bilgileri	Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi
Sektörel Risk Envanteri için yapılacak Anket çalışmaları	Kimlik Müşteri İşlem İletişim Mesleki Deneyim	Risk Yönetimi Süreçlerinin Yürütülmesi
Emakin Kullanıcı Yetki Tanımlama	Kimlik İletişim İşlem Güvenliği	Erişim Yetkilerinin Yürütülmesi Faaliyetlerin Mevzuata Uygun Yürütülmesi
Emakin Kullanıcı Girişi	Kimlik İletişim İşlem Güvenliği	Erişim Yetkilerinin Yürütülmesi Faaliyetlerin Mevzuata Uygun Yürütülmesi
Sınav Merkezi Kurum Yetkilisi Tanımlama	Kimlik İletişim	Erişim Yetkilerinin Yürütülmesi İş Faaliyetlerinin Yürütülmesi / Denetimi
Sesli Yanıt Sistemi Üzerinden Gelen Aramaların Cevaplanması	Kimlik Görsel ve İşitsel Kayıtlar İletişim	Faaliyetlerin Mevzuata Uygun Yürütülmesi Talep / Şikayetlerin Takibi İletişim Faaliyetlerinin Yürütülmesi
Dava Takip ve Danışmanlık / Dava ve icra takibinde alacaklı ya da borçlu kaydının yapılması	Kimlik İletişim	Hukuk İşlerinin Takibi ve Yürütülmesi
Dava Takip Ve Danışmanlık	Kimlik İletişim Finans	Hukuk İşlerinin Takibi ve Yürütülmesi
Yönetim Kurulu Üyesinin Kayıt Altına Alınması	Kimlik İletişim Görsel ve İşitsel Kayıtlar Mesleki Deneyim	Denetim / Etik Faaliyetlerinin Yürütülmesi Hukuk İşlerinin Takibi ve Yürütülmesi Organizasyon Ve Etkinlik Yönetimi
Kamu Kurum ve Kuruluş çalışanlarının yurt dışı seyahat organizasyonu faaliyeti	Kimlik İletişim Diğer (Seyahat Bilgisi)	Lojistik Faaliyetlerinin Yürütülmesi
Aktüeryal Denetim Portalına SEDDK denetimi için veri yüklenmesi	Kimlik Özlük Sağlık Bilgileri Müşteri İşlem Diğer (Çocuk Bilgisi)	Denetim / Etik Faaliyetlerinin Yürütülmesi
Tedarikçi Sözleşme Yönetimi	İletişim Mesleki Deneyim Kimlik	Sözleşme Süreçlerinin Yürütülmesi Tedarik Zinciri Yönetimi Süreçlerinin Yürütülmesi
Çağrı Yönetim Sistemi	Kimlik Müşteri İşlem Diğer (Bireysel Emeklilik Sözleşme Verisi) İletişim Görsel ve İşitsel Kayıtlar Finans Sağlık Bilgileri	Faaliyetlerin Mevzuata Uygun Yürütülmesi Talep / Şikayetlerin Takibi İletişim Faaliyetlerinin Yürütülmesi İş Süreçlerinin İyileştirilmesine Yönelik Önerilerin Alınması Ve Değerlendirilmesi
Anket Uygulaması	Kimlik Müşteri İşlem İletişim Görsel ve İşitsel Kayıtlar	Faaliyetlerin Mevzuata Uygun Yürütülmesi Görevlendirme Süreçlerinin Yönetimi İletişim Faaliyetlerinin Yürütülmesi Performans Değerlendirme Süreçlerinin Yürütülmesi

3. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN İLKELER VE ŞARTLAR

3.1. Kişisel Verilerin İşlenmesine İlişkin İlkeler

EGM tarafından kişisel veriler, Kanun’un 4. maddesinde yer alan kişisel veri işleme ilkelerine uygun olarak işlenmektedir. Bu ilkelere her bir kişisel veri işleme faaliyeti açısından uyulması zorunludur:

Kişisel verilerin hukuka ve dürüstlük kurallarına uygun olarak işlenmesi; EGM, kişisel verilerin işlenmesinde kanunlara, ikincil düzenlemelere ve hukukun genel ilkelerine uygun olarak hareket eder; kişisel verileri işlenme amacı ile sınırlı olarak işlemeye ve veri sahiplerinin makul beklentilerini dikkate almaya önem verir.
Kişisel verilerin doğru ve güncel olması; EGM tarafından işlenen kişisel verilerin güncel olup olmadığına, buna ilişkin kontrollerin yapılmasına dikkat edilir. Veri sahiplerine bu kapsamda doğru ve güncel olmayan verilerinin düzeltilmesini veya silinmesini isteme hakkı tanınır.
Kişisel verilerin belirli, açık ve meşru amaçlar için işlenmesi; EGM, her bir kişisel veri işleme faaliyetinden önce veri işleme amaçlarını tespit eder ve bu amaçların hukuka aykırı olmamasına dikkat eder.
Kişisel verilerin işlendiği amaçla bağlantılı, sınırlı ve ölçülü olması; EGM tarafından veri işleme faaliyeti toplama amacını gerçekleştirme için gerekli olan kişisel verilerle sınırlandırılmakta ve bu amaçla ilişkili olmayan kişisel verilerin işlenmemesi için gerekli adımlar atılmaktadır.
Kişisel verilerin mevzuatın ya da işleme amaçlarının gerektirdiği süre kadar saklanması; EGM tarafından kişisel veri işleme amacının ortadan kalkmasından sonra ya da mevzuatta öngörülen sürenin dolması ile birlikte kişisel veriler silinmekte, yok edilmekte veya anonimleştirilmektedir.

3.2. Kişisel Verilerin İşlenmesine İlişkin Şartlar

EGM tarafından kişisel veriler, Kanun’un 5. maddesinde yer alan kişisel veri işleme şartlarından en az birinin varlığı halinde işlenmektedir. Söz konusu şartlara ilişkin açıklamalar aşağıda yer almaktadır:

Kişisel veri sahibinin açık rızasının olması diğer veri işleme şartlarının var olmadığı durumlarda, 3.1'inci başlık altında yer verilen genel ilkelere uygun olarak, EGM tarafından veri sahibinin kişisel verileri, veri sahibinin özgür iradesi ile kişisel veri işleme faaliyetine ilişkin yeterli bilgi sahibi olarak, tereddüde yer bırakmayacak şekilde ve sadece o işlemle sınırlı olarak onay vermesi halinde işlenebilmektedir.
Kişisel veri işleme faaliyetinin kanunlarda açıkça öngörülmesi halinde EGM tarafından kişisel veriler, veri sahibinin açık rızası olmadan işlenebilecektir. Bu durumda EGM, ilgili hukuki düzenleme çerçevesinde kişisel verileri işleyecektir.
Fiili imkânsızlık nedeniyle veri sahibinin açık rızasının elde edilememesi ve kişisel veri işlemenin zorunlu olması halinde, EGM tarafından, rızasını açıklayamayacak durumda olan veya rızasına geçerlilik tanınamayacak olan veri sahibine ait kişisel veriler, veri sahibinin veya üçüncü bir kişinin hayatı veya beden bütünlüğünü korumak adına kişisel veri işlemenin zorunlu olması durumunda işlenecektir.
Kişisel veri işleme faaliyetinin bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması durumunda, veri sahibi ile EGM arasında kurulan veya halihazırda imzalanmış olan sözleşmenin taraflarına ait kişisel verilerin işlenmesi gerekli ise kişisel veri işleme faaliyeti gerçekleştirilecektir.
Veri sorumlusu hukuki yükümlülüğünü yerine getirme için kişisel veri işleme faaliyeti yürütülmesinin zorunlu olması durumunda EGM, yürürlükteki mevzuat kapsamında öngörülen hukuki yükümlülüklerini yerine getirme amacıyla kişisel verileri işlemektedir.
Veri sahibinin kişisel verilerini alenileştirmiş olması, veri sahibi tarafından herhangi bir şekilde kamuoyuna açıklanmış, alenileştirilme sonucu herkesin bilgisine açılmış olan kişisel veriler alenileştirme amacı ile sınırlı olarak EGM tarafından veri sahiplerinin açık rızası olmasa da işlenebilecektir.
Bir hakkın tesisi, kullanılması veya korunması için kişisel veri işlemenin zorunlu olması durumunda, EGM zorunluluk kapsamında veri sahiplerinin açık rızası olmaksızın veri sahibinin kişisel verilerini işleyebilecektir.
Veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlemenin zorunlu olması halinde, EGM ile veri sahibinin menfaat dengesinin gözetilmesi şartıyla EGM tarafından kişisel veriler işlenebilecektir. Bu kapsamda, meşru menfaate dayanarak verilerin işlenmesinde EGM öncelikle işleme faaliyeti sonucunda elde edeceği meşru menfaati belirler. Kişisel verilerin işlenmesinin veri sahibinin hak ve özgürlükleri üzerindeki olası etkisini değerlendirir ve dengenin bozulmadığı kanaatindeyse işleme faaliyetini gerçekleştirir.

3.3. Özel Nitelikli Kişisel Verilerin İşlenmesine İlişkin Şartlar

Kanunun 6. maddesinde özel nitelikli kişisel veriler, sınırlı sayıda olacak şekilde belirtilmiştir. Bunlar; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileridir.

EGM, özel nitelikli kişisel verileri Kişisel Verileri Koruma Kurulu tarafından belirlenen ilave tedbirlerin alınmasını sağlayarak aşağıdaki durumlarda işleyebilmektedir:

Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel verilerin işlenmesi, veri sahibinin açık rıza vermesi halinde veya kanunlarda açıkça öngörülmesi durumunda işlenebilmektedir.
Sağlık ve cinsel hayata ilişkin kişisel veriler, ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından veri sahibinin açık rızası aranmaksızın işlenebilmektedir. EGM bu verileri ancak veri sahibinin açık rıza vermesi halinde işleyebilmektedir.

4. KİŞİSEL VERİLERİN AKTARILMASI

EGM, Kanun’un 8. ve 9. maddelerinde sıralanan ve Kişisel Verileri Koruma Kurulu tarafından belirlenmiş olan ilave düzenlemelere uygun olarak; kişisel verilerin aktarılması şartlarının bulunması durumunda kişisel verileri yurt içinde veya yurt dışına aktarabilmektedir.

Kişisel verilerin yurt içinde üçüncü kişilere aktarımında kişisel veriler, Kanun’un 5. ve 6. maddesinde yer alan ve işbu Politika’nın 3. Başlığı altında açıklanmış olan veri işleme şartlarından en az birinin varlığı halinde ve veri işleme şartlarına ilişkin temel ilkelere uymak şartıyla EGM tarafından aktarılabilmektedir.
Kişisel verilerin yurt dışında üçüncü kişilere aktarımında,
- Bireysel emeklilik aracılarına ilişkin E-Beas sınavı ve EGM Sınav Merkezi,
- E-Haber Kayıt İşlemleri,
- Kamu Kurum ve Kuruluş çalışanlarının yurt dışı seyahat organizasyonu
  faaliyetleri kapsamındaki kişisel veriler gerekli özen gösterilerek, gerekli güvenlik tedbirleri ve KVK Kurulu tarafından öngörülen yeterli önlemler alınarak; meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda kişisel veri sahibinin açık rızası alınarak EGM tarafından yurt dışına aktarılmaktadır.

Kanunun genel ilkeleri ile 8. ve 9. maddelerinde yer alan veri işleme şartları dahilinde EGM, aşağıdaki tabloda kategorizasyonu yapılmış taraflara veri aktarımı gerçekleştirebilmektedir:

PAYLAŞILAN TARAF	AKTARIM AMACI
Gerçek kişiler veya özel hukuk tüzel kişileri	Bilgi talep edilmesi halinde gönderilmesi
Hissedarlar	Bilgi talep edilmesi halinde gönderilmesi
Topluluk Şirketleri	Bilgi talep edilmesi halinde gönderilmesi
Yetkili Kamu Kurum ve Kuruluşları	Bilgi talep edilmesi halinde gönderilmesi
İcra Müdürlükleri	Bilgi talep edilmesi halinde gönderilmesi
Kamuoyu	Bireysel emeklilik sistemi mevzuatı gereği aracı sicil sorgulama yapılabilmesi
Dış Denetçi	Denetim faaliyetlerinin yürütülmesi
Banka	Finans ve muhasebe süreçlerinin yürütülmesi
Ödeme Hizmeti Şirketi	Finans ve muhasebe süreçlerinin yürütülmesi
İştirakler ve bağlı ortaklıklar	Operasyonel süreçlerin yürütülebilmesi
Tedarikçiler	Operasyonel süreçlerin yürütülebilmesi
İş / Çözüm Ortağı	Operasyonel süreçlerin yürütülebilmesi
Emeklilik Şirketleri	Operasyonel süreçlerin yürütülebilmesi
Noter ve İTO	Operasyonel süreçlerin yürütülebilmesi
IOPS/OECD	Organizasyon ve Etkinlik Yönetimi sürecinin yürütülmesi
Denetime Yetkili Aktüerler	SEDDK tarafından denetim-gözetim faaliyetlerinin yürütülmesi
Portal'a kayıtlı hizmet sunucuları	SEDDK tarafından denetim-gözetim faaliyetlerinin yürütülmesi

5. KİŞİSEL VERİLERİN GÜVENLİĞİ

EGM, sağlanan kişisel verilerin gizliliğini ve güvenliğini korumaya önem vermektedir. Bu doğrultuda, kişisel verilere yetkisiz erişim, zarar, kayıp veya ifşaya karşı korumak için Kurul tarafından açıklanan gerekli idari ve teknik önlemlerde alınmaktadır.

6. VERİ SAHİPLERİNİN AYDINLATILMASI VE VERİ SAHİPLERİNİN HAKLARI

Kanunun 10. maddesine göre kişisel verilerin işlenmesinden önce veya en geç kişisel verilerin işlenmesi anında, veri sahiplerinin kişisel veri işlenmesine ilişkin aydınlatılmaları gerekmektedir. İlgili madde gereğince veri sorumlusu sıfatıyla EGM tarafından kişisel veri işleme faaliyetinin yürütüldüğü her durumda veri sahiplerinin aydınlatılmasını sağlamak üzere şirket içi gerekli yapı oluşturulmuştur. Bu kapsamda;

Kişisel verilerin işlenme amacı için Politika’nın 2.3'üncü bölümü incelenmelidir.
Kişisel verilerin aktarıldığı taraflar ve aktarım amacı için Politika’nın 4'üncü bölümü incelenmelidir.
Fiziki veya elektronik ortamlarda farklı kanallarla toplanabilen kişisel verilerin işlenmesine ilişkin şartlar için Politika’nın 3.2'nci ve 3.3'üncü bölümüne bakılmalıdır.
Veri sahibi, Kanun’un 11. maddesi uyarınca aşağıdaki haklara sahip bulunmaktadır.

Kişisel verilerin işlenip işlenmediğini öğrenme,
Kişisel veriler işlenmişse buna ilişkin bilgi talep etme,
Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
Kanun’a ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhe bir sonucun ortaya çıkması durumunda buna itiraz etme,
Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğrama hâlinde zararın giderilmesini talep etme.

Yukarıda sıralanan haklara yönelik başvurular, Emeklilik Gözetim Merkezi Anonim Şirketi Veri Sahibi Başvuru Formu doldurularak EGM’ye iletebilir. Talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde başvurular ücretsiz olarak sonuçlandırılacaktır; ancak işlemin ayrıca bir maliyet gerektirmesi halinde Kişisel Verileri Koruma Kurulu tarafından belirlenecek tarifeye göre ücret talep edilebilecektir.

EGM, başvuruların değerlendirilmesi sırasında öncelikle talepte bulunan kişinin gerçek hak sahibi olup olmadığını tespit etmektedir. Bununla birlikte EGM, gerek gördüğü durumlarda talebin daha iyi anlaşılabilmesi için detaylı ve ek bilgi isteyebilmektedir.

EGM tarafından veri sahibi başvurularına yanıtlar, yazılı olarak veya elektronik ortamda veri sahiplerine bildirilmektedir. Başvurunun reddedilmesi halinde ret nedenleri gerekçeli olarak veri sahibine açıklanacaktır.

Kişisel verilerin doğrudan veri sahibinden elde edilmemesi halinde; EGM tarafından
(1) kişisel verilerin elde edilmesinden itibaren makul bir süre içerisinde,
(2) kişisel verilerin veri sahipleri kişi ile iletişim amacıyla kullanılacak olması durumunda, ilk iletişim kurulması esnasında,
(3) kişisel verilerin aktarılacak olması halinde, en geç kişisel verilerin ilk kez aktarımının yapılacağı esnada
veri sahiplerinin aydınlatılmasına ilişkin faaliyetler yürütülmektedir.

7. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ, ANONİM HALE GETİRİLMESİ

Kanun’un 7. maddesi gereğince hukuka uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler tarafından re’sen veya veri sahibinin talebi üzerine EGM, Kurum tarafından yayımlanan rehberlere uygun olarak siler, yok eder veya anonim hâle getirir.

8. KANUN KAPSAMI VE UYGULANMASINA İLİŞKİN KISITLAMALAR

Aşağıda belirtilen durumlar Kanun kapsamı dışındadır:

Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi.
Kişisel verilerin resmi istatistik ile anonim hale getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.
Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç̧ teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.
Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş̧ kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.
Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.

Aşağıda sayılan durumlarda EGM tarafından veri sahiplerine aydınlatma yapılması gerekmemektedir ve veri sahipleri, zararlarının giderilmesine ilişkin hakları hariç olmak üzere, Kanun’da belirtilen haklarını kullanamayacaklardır:

Kişisel veri islemenin suç̧ islenmesinin önlenmesi veya suç̧ soruşturması için gerekli olması.
İlgili kişinin kendisi tarafından alenileştirilmiş̧ kişisel verilerin işlenmesi.
Kişisel veri islemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.
Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.

9. YÜRÜRLÜK ve DEĞİŞİKLİK

Politika, EGM tarafından internet sitesinde yayımlanarak kamuoyuna sunulmuştur. Başta Kanun olmak üzere yürürlükteki mevzuat ile bu Politika’da yer verilen düzenlemelerin çelişmesi halinde mevzuat hükümleri uygulanır.
EGM, yasal düzenlemelere paralel olarak Politika’da değişiklik yapma hakkını saklı tutar. Politika’nın güncel versiyonuna EGM’nin web sitesi egm.org.tr'den erişilebilir.

Kişisel Verilerin Korunması ve İşlenmesi Politikası

Bizden Haberdar Olun

Adres