Egemen Yazılım ve Otomasyon Sanayi ve Tic. Ltd. Şti.
KİŞİSEL VERİLERİN İŞLENMESİ
VE KORUNMASI POLİTİKASI
1.3.
Politikanın ve İlgili Mevzuatın
Uygulanması
2.
KİŞİSEL VERİLERİN KORUNMASINA
İLİŞKİN HUSUSLAR
2.1. Kişisel Verilerin
Güvenliğinin Sağlanması
2.2. Özel Nitelikli
Kişisel Verilerin Korunması
2.3. Kişisel Verilerin
Korunması ve İşlenmesi Konusunda Farkındalıklarının Arttırılması ve Denetimi
3.
KİŞİSEL VERİLERİN İŞLENMESİNE
İLİŞKİN HUSUSLAR
3.1. Kişisel Verilerin
Mevzuatta Öngörülen İlkelere Uygun Olarak İşlenmesi
3.1.1.
Hukuka ve Dürüstlük Kuralına Uygun
İşleme
3.1.2.
Kişisel Verilerin Doğru ve
Gerektiğinde Güncel Olmasını Sağlama
3.1.3. Belirli, Açık ve
Meşru Amaçlarla İşleme
3.1.4. İşlendikleri
Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma
3.1.5. İlgili Mevzuatta
Öngörülen veya İşlendikleri Amaç için Gerekli Olan Süre Kadar Muhafaza Etme
3.2. Kişisel Verilerin
İşlenme Şartları
3.3. Kişisel Veri
Sahibinin Aydınlatılması
3.4. Kişisel Verilerin
Aktarılması
4.
ŞİRKET TARAFINDAN İŞLENEN KİŞİSEL
VERİLERİN KATEGORİZASYONU VE İŞLENME AMAÇLARI
5.
KİŞİSEL VERİLERİN SAKLANMASI VE İMHASI
6.
KİŞİSEL VERİ SAHİPLERİNİN HAKLARI VE BU HAKLARIN KULLANILMASI
6.1.
Kişisel Veri Sahibinin Hakları ve
Hakların Kullanılması
6.2.
Şirketin Başvurulara Cevap Vermesi
7.
KİŞİSEL VERİLERİN İŞLENDİĞİ ÖZEL DURUMLAR
7.1.
Şirket İçinde ve Çevresinde
Yürütülen Kamera ile İzleme ve Kayıt Altına Alma Faaliyetleri
7.2.
Çalışan ve Çalışan Adaylarıyla
İlgili Toplanan ve İşlenen Kişisel Verilere İlişkin Kurallar
7.2.1.
Sağlık Bilgilerinin Özel Nitelikli
Kişisel Veri Olarak Muamele Görmesi
7.2.3.
Çalışana Ait Kişisel Verilere
Erişim
8.
KİŞİSEL VERİLERİN VERİ İHLALİNE KARŞI KORUNMASI
9.1.
Politikanın Yayınlanması ve
Saklanması
9.2.
Politikanın Güncellenme Periyodu
9.3.
Politikanın Onaylanması ve
Yürürlüğe Girmesi
EK 2 – Şirket Tarafından
Kişisel Verilerin Aktarıldığı Üçüncü Kişiler ve Aktarılma Amaçları
EK 3 – Kişisel Veri
Kategorileri
EK 4 – Kişisel Veri
İşleme Amaçları
Kişisel
verilerin korunması, Egemen Yazılım ve Otomasyon Sanayi ve Tic. Ltd. Şti.’nin (“Şirket”)
en önemli öncelikleri arasında olup, bu hususta yürürlükte bulunan başta 6698
sayılı Kişisel Verilerin Korunması Kanununu (“Kanun”) olmak üzere tüm
mevzuata uygun davranmak için azami gayret gösterilmektedir. İşbu Kişisel
Verilerin Korunması ve İşlenmesi Politikası (“Politika”) çerçevesinde
Şirket, kişisel veri işleme faaliyetleri bakımından benimsediği temel
prensipleri açıklanmakta ve böylelikle kişisel veri sahiplerini bilgilendirerek
gerekli şeffaflığı sağlamaktadır. Bu kapsamdaki sorumluluğumuzun tam bilinci ile
kişisel verileriniz işbu Politika kapsamında işlenmekte ve korunmaktadır.
Bu Politika;
tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin
parçası olmak kaydıyla otomatik olmayan yollarla gerçek kişilerin Şirket
tarafından işlenen tüm kişisel verilerine ilişkindir. Söz konusu kişisel veri
sahiplerine ilişkin detaylı bilgilere işbu Politikanın EK 1 (“EK 1 -
Kişisel Veri Sahipleri”) dokümanından ulaşılması mümkündür.
Kişisel
verilerin işlenmesi ve korunması konusunda yürürlükte bulunan ilgili kanuni
düzenlemeler öncelikle uygulama alanı bulacaktır. Yürürlükte bulunan mevzuat ve
Politika arasında uyumsuzluk bulunması durumunda, yürürlükteki mevzuatın
uygulama alanı bulacağı kabul edilir. İşbu Politika, ilgili mevzuat tarafından
ortaya konulan kuralları Şirket uygulamaları kapsamında somutlaştırılarak
düzenlemektedir.
Şirket,
Kanun’un 12. maddesine uygun olarak, kişisel verilerin hukuka aykırı olarak
açıklanmasını, erişimini, aktarılmasını veya başka şekillerde meydana
gelebilecek güvenlik eksikliklerini önlemek için, korunacak verinin niteliğine
göre gerekli tedbirleri almaktadır. Bu kapsamda, Kişisel Verileri Koruma Kurulu
(“Kurul”) tarafından yayımlanmış olan rehberlere uygun olarak gerekli
güvenlik düzeyini sağlamaya yönelik teknik ve idari tedbirleri alınmakta,
denetimler yapılmakta veya yaptırılmaktadır.
Kanun ile
birtakım kişisel verilere hukuka aykırı olarak işlendiğinde kişilerin
mağduriyetine veya ayrımcılığa sebep olma riski nedeniyle özel önem
atfedilmiştir. Bu veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din,
mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika
üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili
veriler ile biyometrik ve genetik verilerdir.
Şirket
tarafından, Kanun ile “özel nitelikli” olarak belirlenen ve hukuka uygun olarak
işlenen özel nitelikli kişisel verilerin korunmasında hassasiyetle
davranılmaktadır. Bu kapsamda, kişisel verilerin korunması için Şirket
tarafından alınan teknik ve idari tedbirler, özel nitelikli kişisel veriler
bakımından özenle uygulanmakta ve Şirket bünyesinde
gerekli denetimler sağlanmaktadır.
Kişisel
verilerin hukuka aykırı olarak işlenmesini, kişisel verilere hukuka aykırı
olarak erişilmesini önlemeye ve kişisel verilerin muhafazasını sağlamaya yönelik
farkındalığın artırılması için Şirket bünyesinde gerekli eğitimlerin
düzenlenmesi sağlanmaktadır.
Kişisel
verilerin korunması konusunda Şirket çalışanlarında farkındalık oluşması için
gerekli aksiyonlar alınmakta, ihtiyaç duyulması halinde danışmanlar ile
çalışmaktadır. Bu doğrultuda Şirket, ilgili eğitimlere, seminerlere ve
bilgilendirme oturumlarına yapılan katılımları değerlendirmekte olup ilgili
mevzuatın güncellenmesine paralel olarak eğitimlerini güncellemekte ve
yenilemektedir.
Şirket,
kişisel verilerin işlenmesinde hukuksal düzenlemelerle getirilen ilkeler ile
dürüstlük kuralına uygun hareket etmektedir. Bu çerçevede, kişisel veriler
Şirket iş faaliyetlerinin gerektirdiği ölçüde ve bunlarla sınırlı olarak
işlenmektedir.
Şirket,
kişisel verilerin işlendiği süre boyunca doğru ve güncel olması için gerekli
önlemleri almakta ve belirli sürelerle kişisel verilerin doğruluğunun ve
güncelliğinin sağlanmasına ilişkin gerekli mekanizmaları kurmaktadır.
Şirket,
kişisel verilerin işlenme amaçlarını açıkça ortaya koymakta ve yine iş
faaliyetleri doğrultusunda bu faaliyetlerle bağlantılı amaçlar kapsamında
işlemektedir.
Şirket,
kişisel verileri yalnızca iş faaliyetlerinin gerektirdiği nitelikte ve ölçüde
toplamakta olup yalnızca belirlenen amaçlarla sınırlı olarak işlemektedir.
Şirket,
kişisel verileri işlendikleri amaç için gerekli olan süre ve ilgili faaliyetin
tabi olduğu yasal mevzuatta öngörülen minimum süre kadar muhafaza etmektedir. Bu
kapsamda, Şirket öncelikle ilgili mevzuatta kişisel verilerin saklanması için
bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu
süreye uygun davranmaktadır. Yasal bir süre mevcut değil ise, kişisel veriler
işlendikleri amaç için gerekli olan süre kadar saklanmaktadır. Kişisel veriler
belirlenen saklama sürelerinin sonunda periyodik imha sürelerine veya veri
sahibi başvurusuna uygun olarak ve belirlenen imha yöntemleri (silme ve/veya yok
etme ve/veya anonimleştirme) ile imha edilmektedir.
a)
Kişisel Veri
Sahibinin Açık Rızasının Bulunması
Kişisel
verilerin işlenme şartlarından biri veri sahibinin açık rızasıdır. Kişisel veri
sahibinin açık rızası belirli bir konuya ilişkin, bilgilendirilmeye dayalı
olarak ve özgür iradeyle açıklanmalıdır.
Aşağıda yer
alan kişisel veri işleme şartlarının varlığı durumunda veri sahibinin açık
rızasına gerek kalmaksızın kişisel veriler işlenebilecektir.
b)
Kanunlarda
Açıkça Öngörülmesi
Veri sahibinin
kişisel verileri, kanunda açıkça öngörülmekte ise diğer bir ifade ile ilgili
kanunda kişisel verilerin işlenmesine ilişkin açıkça bir hüküm olması halinde
işbu veri işleme şartının varlığından söz edilebilecektir.
c)
Fiili
İmkânsızlık Sebebiyle İlgilinin Açık Rızasının Alınamaması
Fiili
imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına
geçerlilik tanınamayacak olan kişinin kendisinin ya da başka bir kişinin hayatı
veya beden bütünlüğünü korumak için kişisel verisinin işlenmesinin zorunlu
olması halinde veri sahibinin kişisel verileri işlenebilecektir.
d)
Sözleşmenin
Kurulması veya İfasıyla Doğrudan İlgili Olması
Veri sahibinin
taraf olduğu bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili
olması kaydıyla, kişisel verilerin işlenmesinin gerekli olması halinde işbu şart
yerine getirilmiş sayılabilecektir.
e)
Şirketin
Hukuki Yükümlülüğünü Yerine Getirmesi
Şirketin
hukuki yükümlülüklerini yerine getirmesi için işlemenin zorunlu olması halinde
veri sahibinin kişisel verileri işlenebilecektir.
f)
Kişisel Veri
Sahibinin Kişisel Verisini Alenileştirmesi
Veri
sahibinin, kişisel verisini alenileştirmiş olması halinde ilgili kişisel veriler
alenileştirme amacıyla sınırlı olarak işlenebilecektir.
g)
Bir Hakkın
Tesisi veya Korunması için Veri İşlemenin Zorunlu Olması
Bir hakkın
tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde
veri sahibinin kişisel verileri işlenebilecektir.
h)
Şirket Meşru
Menfaati için Veri İşlemenin Zorunlu Olması
Kişisel veri
sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirket meşru
menfaatleri için veri işlemesinin zorunlu olması halinde veri sahibinin kişisel
verileri işlenebilecektir.
Şirket,
Kanun’un 10. maddesine ve ikincil mevzuata uygun olarak, kişisel veri
sahiplerini aydınlatmaktadır. Bu kapsamda Şirket, kişisel verilerin veri
sorumlusu olarak kim tarafından, hangi amaçlarla işlendiği, hangi amaçlarla
kimlerle paylaşıldığı, hangi yöntemlerle toplandığı ve hukuki sebebi ve veri
sahiplerinin kişisel verilerinin işlenmesi kapsamında sahip olduğu hakları
konusunda ilgili kişileri bilgilendirmektedir.
Şirket hukuka
uygun olan kişisel veri işleme amaçları doğrultusunda gerekli güvenlik
önlemlerini alarak kişisel veri sahibinin kişisel verilerini ve özel nitelikli
kişisel verilerini üçüncü kişilere (üçüncü kişi şirketlere, resmi ve özel
mercilere, üçüncü gerçek kişilere) aktarabilmektedir. Şirket bu doğrultuda
Kanun’un 8. maddesinde öngörülen düzenlemelere uygun hareket etmektedir. Bu konu
ile ilgili ayrıntılı bilgiye işbu Politikanın EK 2 (“EK 2 - Şirket
Tarafından Kişisel Verilerin Aktarıldığı Üçüncü Kişiler ve Aktarılma
Amaçları”) dokümanından ulaşılması mümkündür.
Kişisel veri
sahibinin açık rızası olmasa dahi aşağıda belirtilen şartlardan bir ya da
birkaçının mevcut olması halinde Şirket tarafından gerekli özen gösterilerek ve
Kurul tarafından öngörülen yöntemler de dahil gerekli tüm güvenlik önlemleri
alınarak kişisel veriler üçüncü kişilere aktarılabilecektir.
·
Kişisel
verilerin aktarılmasına ilişkin ilgili faaliyetlerin kanunlarda açıkça
öngörülmesi,
·
Kişisel
verilerin Şirket tarafından aktarılmasının bir sözleşmenin kurulması veya
ifasıyla doğrudan doğruya ilgili ve gerekli olması,
·
Kişisel
verilerin aktarılmasının Şirketin hukuki yükümlülüğünü yerine getirebilmesi için
zorunlu olması,
·
Kişisel
verilerin veri sahibi tarafından alenileştirilmiş olması şartıyla, alenileştirme
amacıyla sınırlı bir şekilde Şirket tarafından aktarılması,
·
Kişisel
verilerin Şirket tarafından aktarılmasının Şirket, veri sahibi veya üçüncü
kişilere ait haklarının tesisi, kullanılması veya korunması için zorunlu olması,
·
Veri sahibinin
temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirket meşru menfaatleri
için kişisel veri aktarımı faaliyetinde bulunulmasının zorunlu olması,
·
Fiili
imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına
hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya
beden bütünlüğünü koruması için zorunlu olması.
Yukarıdakilere
ek olarak kişisel veriler, Kurul tarafından yeterli korumaya sahip olduğu ilan
edilen yabancı ülkelere (“Yeterli Korumaya Sahip Yabancı Ülke”)
yukarıdaki şartlardan herhangi birinin varlığı halinde aktarılabilecektir.
Yeterli korumanın bulunmaması durumunda ise mevzuatta öngörülen veri aktarım
şartları doğrultusunda Türkiye’deki ve ilgili yabancı ülkedeki veri
sorumlularının yeterli bir korumayı yazılı olarak taahhüt ettiği ve Kurul’un
izninin bulunduğu yabancı ülkelere (“Yeterli Korumayı Taahhüt Eden
Veri Sorumlusunun Bulunduğu Yabancı Ülke”) aktarılabilecektir.
Kanun’un 10.
maddesi ve ikincil mevzuat uyarınca ilgili kişiler bilgilendirilerek, Şirketin
kişisel veri işleme amaçları doğrultusunda, Kanun’un 5. ve 6. maddesinde
belirtilen kişisel veri işleme şartlarından en az birine dayalı ve sınırlı
olarak, kişisel verilerin işlenmesine ilişkin Kanun’un 4. maddesinde belirtilen
ilkeler başta olmak üzere Kanun’da belirtilen genel ilkelere uygun bir şekilde
kişisel veriler işlenmektedir. İşbu Politikada belirtilen amaçlar ve şartlar
çerçevesinde, işlenen kişisel veri kategorilerine ve kategoriler hakkında
detaylı bilgilere Politikanın EK 3 (“EK 3 - Kişisel Veri
Kategorileri”) dokümanından ulaşılabilecektir.
Söz konusu
kişisel verilerin işleme amaçlarına ilişkin detaylı bilgiler Politikanın EK
4’ünde (“EK 4 - Kişisel Veri İşleme Amaçları”) yer
almaktadır.
Şirket,
kişisel verileri işlendikleri amaç için gerekli olan süre ve ilgili faaliyetin
tabi olduğu yasal mevzuatta öngörülen minimum sürelere uygun olarak muhafaza
etmektedir. Bu kapsamda, Şirket öncelikle ilgili mevzuatta kişisel verilerin
saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre
belirlenmişse bu süreye uygun davranmaktadır. Yasal bir süre mevcut değil ise
kişisel veriler işlendikleri amaç için gerekli olan süre kadar saklanmaktadır.
Kişisel veriler belirlenen saklama sürelerinin sonunda periyodik imha sürelerine
veya veri sahibi başvurusuna uygun olarak ve belirlenen imha yöntemleri (silme
ve/veya yok etme ve/veya anonimleştirme) ile imha edilmektedir.
Kişisel verilerin saklanması ve imhasına yönelik olarak Şirket Kişisel Verileri
Saklama ve İmha Politikası uygulanır.
Kişisel veri
sahipleri, aşağıda sayılan haklarına ilişkin taleplerini Kurul’un belirlemiş
olduğu yöntemlerle
egemenyazilim.com
adresinde bulunan Başvuru Formu vasıtasıyla Şirketimize iletebileceklerdir.
Kişisel veri
sahipleri aşağıda yer alan haklara sahiptirler:
1)
Kişisel
verisinin işlenip işlenmediğini öğrenme,
2)
Kişisel
verileri işlenmişse buna ilişkin bilgi talep etme,
3)
Kişisel
verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını
öğrenme,
4)
Yurt içinde
veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
5)
Kişisel
verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini
isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü
kişilere bildirilmesini isteme,
6)
Kanun ve
ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen,
işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin
silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel
verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
7)
İşlenen
verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle
kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
8)
Kişisel
verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde
zararın giderilmesini talep etme.
Şirket,
kişisel veri sahibi tarafından yapılacak başvuruları Kanun ve ikincil mevzuata
uygun olarak sonuçlandırmak üzere gerekli idari ve teknik tedbirleri almaktadır.
Kişisel veri
sahibinin, bölüm 6.1.’de yer alan haklara ilişkin talebini usulüne uygun olarak
Şirketimize iletmesi durumunda, talebin niteliğine göre en kısa sürede ve en geç
30 (otuz) gün içinde ilgili talep ücretsiz olarak sonuçlandıracaktır. Ancak,
işlemin ayrıca bir maliyet gerektirmesi halinde, Kurul tarafından belirlenen
tarife uyarınca ücret alınabilecektir. Bu konuda Kanun hükümleri ile birlikte
İlgili Kişinin Veri Sorumlusuna Başvurusuna ve Başvurunun Yanıtlanmasına İlişkin
Prosedür uygulanır.
Şirket
tarafından firma içinde ve çevresinde güvenliğin sağlanması amacıyla ve
yürürlükte bulunan ilgili mevzuatta öngörülen amaçlarla ve Kanun’da sayılan
kişisel veri işleme şartlarına uygun olarak güvenlik kamerası izleme ve kayıt
altına alma faaliyetinde bulunulmaktadır. Benzer şekilde forklift ve Şirket
araçlarında operasyonların güvenliğinin temini amacıyla dışardan erişimi
bulunmayan, dahili hafızasına kayıt yapan kamera ile görüntü kaydı
yapılmaktadır.
Kanun’un 10.
maddesine uyarınca, kamera ile izleme ve kayıt altına alma faaliyeti hususunda
kişisel veri sahipleri aydınlatılmaktadır. Şirket tarafından video kamera ile
izleme ve kayıt altına alma faaliyetinin sürdürülmesindeki amaç, işbu Politikada
sayılan amaçlarla sınırlıdır. Bu doğrultuda, güvenlik kameralarının izleme ve
kayıt altına alma alanları, sayısı ve ne zaman izleme yapılacağı, güvenlik
amacına ulaşmak için yeterli ve bu amaçla sınırlı olarak uygulamaya
alınmaktadır. Kişinin mahremiyetine güvenlik amaçlarını aşan şekilde müdahale
sonucu doğurabilecek alanlarda (örneğin, tuvaletler) izlemeye tabi
tutulmamaktadır.
Canlı kamera
görüntüleri ile dijital ortamda kaydedilen ve muhafaza edilen kayıtlara yalnızca
sınırlı sayıda Şirket çalışanının erişimi bulunmaktadır. Kayıtlara erişimi olan
sınırlı sayıda kişi gizlilik taahhütnamesi ile eriştiği verilerin gizliliğini
koruyacağını beyan etmektedir.
Çalışanların
adli sicil kaydı ve sağlık bilgileri, özel nitelikli kişisel veri olarak kabul
edilmektedir. Özel nitelikli kişisel veriler hakkında işbu Politikada yer alan
düzenlemelere ilave olarak Kişisel Verileri Koruma Kurulunun 31/01/2018 Tarihli
ve 2018/10 Sayılı Kararı (Ek 5 - Özel Nitelikli Kişisel Verilerin
İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler)
hükümleri uygulanır.
Çalışan ile
ilgili özel nitelikli kişisel veriler, Şirket olanakları elverdiği oranda,
yetkisiz erişimlerden korumak ve daha yüksek güvenlik sağlamak adına, diğer
kişisel verilerden ayrı olarak saklanmaktadır. Şirket, bu verileri mümkün olan
en dar kapsamda işlemeye özen göstermektedir. Bu verilerin işlenmesi gereken
durumlarda, bu işlemeyi gerçekleştirmek amacıyla yetkilendirilen kişilerin, bu
verilerin hassasiyetini anlamasına ve gerekli önemleri alabilmesine yönelik
bilgilendirmeler yapılır.
Çalışan ile
ilgili kişisel verilere erişim sadece gerekli olması durumunda bu konuda
yetkilendirilmiş Şirket çalışan(lar)ı tarafından gerçekleştirilebilecektir.
Ayrıca yöneticilere, onların yönetsel rollerini yerine getirebilmeleri için
gereken seviyede sağlık verileri açıklanabilir.
Kanun’un 12. maddesinin 5. fıkrasına göre işlenen kişisel verilerin kanuni
olmayan yollarla başkaları tarafından elde edilmesi, diğer bir deyişle kişisel
veri ihlali halinde Şirket, bu durumu en kısa sürede ilgilisine ve Kurul’a
bildirmekle yükümlüdür.
Veri ihlali
yaşanmaması için Şirket, Kanun, KVKK alt düzenlemeleri ve işbu politikada
belirtilen tüm idari ve teknik tedbirleri dikkate alarak kişisel veri ihlali
öncesi risk değerlendirmesi yaparak gerekli tüm tedbirleri alır. Kişisel veri
ihlalinin gerçekleşmesi durumunda Şirket, ihlale ilişkin ön değerlendirme
yaparak, risk değerlendirmesi neticesinde ihlalin etkilerinin azaltılabilmesi
için engelleme ve kurtarma çalışmaları yürütür. Yürütülen çalışmalar
çerçevesinde gecikmeksizin ve en geç 72 saat içerisinde Kurul’a bildirimde
bulunur.
Kişisel veri ihlali öncesi ve sonrasında Veri İhlali Bildirim Prosedürü uygulama
alanı bulur.
İşbu Politika,
internet sayfasında kamuya açıklanır. Basılı kâğıt nüshası da Şirket nezdinde
saklanır.
Şirket,
Kanun’da yapılan değişiklikler, Kurul kararları, sektördeki ya da bilişim
alanındaki gelişmeler doğrultusunda işbu Kişisel Verilerin İşlenmesi ve
Korunması Politikasında değişiklik yapma hakkını saklı tutar. İşbu Politikada
yapılan değişiklikler derhal metne işlenir ve değişikliklere ilişkin açıklamalar
politikanın sonunda açıklanır.
İşbu Politika,
Şirket kanuni temsilcisi tarafından onaylanır. Tüm
çalışanlara duyurularak yürürlüğe girer ve yürürlüğü itibarıyla tüm iş
birimleri, danışmanlar, dış hizmet sağlayıcıları ve kişisel veri işleyen herkes
için bağlayıcı olacaktır.
Çalışanların
politikanın gereklerini yerine getirip getirmediğinin takibi, işverenin
sorumluluğunda olacaktır. Politikaya aykırı davranış tespit edildiğinde,
aykırılığın önemli boyutta olması halinde vakit kaybetmeksizin irtibat
kişisine bilgi verilecektir. Politikaya aykırı davranan çalışan hakkında,
işveren tarafından yapılacak değerlendirme sonrasında gerekli idari işlem
yapılacaktır.
Kişisel Veri Sahibi Kategorisi |
Açıklama |
Çalışan |
Şirkette sözleşme ile çalışan
gerçek kişi |
Çalışan Adayı |
Şirkette sözleşme ile çalışacak
aday gerçek kişi |
Hissedar/Ortak |
Şirket hisselerine sahip gerçek kişi |
Tedarikçi Yetkilisi veya Çalışanı |
Şirket ile yürüttüğü faaliyetler
çerçevesinde her türlü mal ve hizmet tedariki sunan kurum ve
kuruluşların hissedarı, yetkilisi ve çalışanı olan gerçek kişiler |
Ürün veya Hizmet Alan Kişi |
Şirket ile herhangi bir sözleşme
ilişkisi olup olmadığına bakılmaksızın Şirketin sunduğu mal ve hizmetler
kapsamında kişisel verileri elde edilen gerçek kişiler ile tüzel kişi
müşterilerin çalışanları veya yetkilileri |
Ziyaretçi |
Şirketin sahip olduğu fiziksel
yerleşkelere çeşitli amaçlarla girmiş olan gerçek kişiler |
Diğer
|
Çalışan Yakını, Doktor, Kamu Görevlisi,
Kredi Kartı Sahibi, Referans vb. 3. kişiler |
EK 2 – Şirket Tarafından Kişisel Verilerin Aktarıldığı Üçüncü
Kişiler ve Aktarılma Amaçları
Şirket,
Kanun’un 8. ve 9. maddelerine uygun olarak işbu Politika ile yönetilen veri
sahiplerinin kişisel verilerini, gerçek kişiler veya özel hukuk tüzel kişilerine
ve yetkili kamu kurum ve kuruluşlarına aşağıda belirtilen kapsam ve amaçlarla
aktarabilir.
Veri
Aktarımı Yapılabilecek Kişiler |
Tanımı |
Veri
Aktarım Amacı |
Gerçek kişiler
veya özel hukuk tüzel kişileri |
Ticari
faaliyetlerini yürütürken sözleşme temelli olarak Şirkete mal ve hizmet
sunan taraflardır. |
Dış
kaynaklı olarak ve ticari faaliyetlerini yürütmek üzere mal ve hizmet
sağlamak amacıyla sınırlı olarak |
Yetkili Kamu
Kurum ve Kuruluşları |
İlgili
mevzuat hükümlerine göre Şirketten bilgi ve belge almaya yetkili kamu
kurum ve kuruluşlarıdır. |
İlgili
kamu kurum ve kuruluşlarının hukuki yetkisi dahilinde talep ettiği
amaçla sınırlı olarak |
Kişisel Veri Sahibi Kategorisi |
Açıklama |
Kimlik
|
Ad-soyad, T.C./vergi kimlik numarası, uyruk bilgisi, doğum yeri, doğum
tarihi, cinsiyet, medeni durum, ehliyet, nüfus cüzdanı vb. belgeler
üzerindeki bilgiler ile imza. |
İletişim |
Telefon numarası, adres, e-posta adresi, faks numarası vb. bilgiler. |
Fiziksel Mekân Güvenliği |
Kamera kaydı. |
Müşteri İşlem |
Fatura, senet, çek, dekont bilgileri. |
Finans |
Banka hesap bilgileri, IBAN numarası,
gelir bilgisi, banka hesap hareketleri, kredi kartı bilgileri vb. |
Görsel
ve İşitsel Kayıtlar |
Fotoğraf |
Özlük |
İşe başlama tarihi, izin başlangıç-bitiş
tarihi, ücret hesap pusulası, özlük dosyasına ilişkin tutanaklar vb. |
Hukuki İşlem |
İmza, imza sirküleri, vekaletname
bilgileri, mahkeme ve idari merci kararları vb. |
İşlem Güvenliği |
IP adresi, bilgi işlem giriş-çıkış
bilgileri |
Mesleki Deneyim |
Öğrenim ve meslek bilgileri. |
Özel Nitelikli Kişisel Veriler |
Din
bilgisi, sağlık bilgisi, ceza mahkumiyeti ve güvenlik tedbirleri
bilgisi. |
Kişisel Veri İşleme Amaçları |
Çalışan adaylarının başvuru süreçlerinin yürütülmesi |
Çalışanlar İçin İş Akdi ve Mevzuat Kaynaklı Yükümlülüklerin Yerine
Getirilmesi |
Çalışanlar İçin Yan Haklar ve Menfaatleri Süreçlerinin Yürütülmesi |
Eğitim faaliyetlerinin yürütülmesi |
Faaliyetlerin Mevzuata Uygun Yürütülmesi |
Finans ve Muhasebe İşlerinin Yürütülmesi |
Fiziksel Mekân Güvenliğinin Temini |
Hukuk İşlerinin Takibi ve Yürütülmesi |
İş
Faaliyetlerinin Yürütülmesi/Denetimi |
Mal/Hizmet Satış Süreçlerinin Yürütülmesi |
Saklama ve Arşiv Faaliyetlerinin Yürütülmesi |
Sözleşme Süreçlerinin Yürütülmesi |
Yetkili Kişi/kurum ve Kuruluşlara Bilgi Verilmesi |
Karar Tarihi
: 31/01/2018
Karar No
: 2018/10
Konu Özeti
: “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca
Alınması Gereken Yeterli Önlemler”in görüşülmesi.
Kanunun 6 ncı maddesinin (4) numaralı fıkrası
ile 22 nci maddesinin (1) numaralı fıkrasının (ç) bendi kapsamında hazırlanan
“Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması
Gereken Yeterli Önlemler” in ekte yer verilen şekilde kabulüne ve Resmi Gazetede
yayımlanmasına oy birliği ile karar verilmiştir.
Özel Nitelikli Kişisel Verilerin
İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler
6698 sayılı Kişisel Verilerin Korunması
Kanununun (Kanun) 6 ncı maddesinin (4) numaralı fıkrasında, “Özel nitelikli
kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli
önlemlerin alınması şarttır.” hükmü yer almaktadır.
Bu çerçevede, Kanunun 22 nci maddesinin (1)
numaralı fıkrasının (ç) ve (e) bentleri uyarınca özel nitelikli kişisel veri
işleyen veri sorumluları tarafından alınması gereken yeterli önlemler Kişisel
Verileri Koruma Kurulu tarafından aşağıdaki şekilde belirlenmiştir:
1- Özel nitelikli kişisel verilerin
güvenliğine yönelik sistemli, kuralları net bir şekilde belli, yönetilebilir ve
sürdürülebilir ayrı bir politika ve prosedürün belirlenmesi,
2- Özel nitelikli kişisel verilerin işlenmesi
süreçlerinde yer alan çalışanlara yönelik,
a) Kanun ve buna bağlı yönetmelikler ile özel
nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilmesi,
b) Gizlilik sözleşmelerinin yapılması,
c) Verilere erişim yetkisine sahip
kullanıcıların, yetki kapsamlarının ve sürelerinin net olarak tanımlanması,
ç) Periyodik olarak yetki kontrollerinin
gerçekleştirilmesi,
d) Görev değişikliği olan ya da işten ayrılan
çalışanların bu alandaki yetkilerinin derhal kaldırılması. Bu kapsamda, veri
sorumlusu tarafından kendisine tahsis edilen envanterin iade alınması,
3- Özel nitelikli kişisel verilerin
işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise
a) Verilerin kriptografik yöntemler
kullanılarak muhafaza edilmesi,
b) Kriptografik anahtarların güvenli ve
farklı ortamlarda tutulması,
c) Veriler üzerinde gerçekleştirilen tüm
hareketlerin işlem kayıtlarının güvenli olarak loglanması,
ç) Verilerin bulunduğu ortamlara ait güvenlik
güncellemelerinin sürekli takip edilmesi, gerekli güvenlik testlerinin düzenli
olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,
d) Verilere bir yazılım aracılığı ile
erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmelerinin yapılması, bu
yazılımların güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test
sonuçlarının kayıt altına alınması,
e) Verilere uzaktan erişim gerekiyorsa en az
iki kademeli kimlik doğrulama sisteminin sağlanması,
4- Özel nitelikli kişisel verilerin
işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise
a) Özel nitelikli kişisel verilerin bulunduğu
ortamın niteliğine göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın,
su baskını, hırsızlık vb. durumlara karşı) alındığından emin olunması,
b) Bu ortamların fiziksel güvenliğinin
sağlanarak yetkisiz giriş çıkışların engellenmesi,
5- Özel nitelikli kişisel veriler
aktarılacaksa
a) Verilerin e-posta yoluyla aktarılması
gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik
Posta (KEP) hesabı kullanılarak aktarılması,
b) Taşınabilir Bellek, CD, DVD gibi ortamlar
yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmesi ve
kriptografik anahtarın farklı ortamda tutulması,
c) Farklı fiziksel ortamlardaki sunucular
arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya
sFTP yöntemiyle veri aktarımının gerçekleştirilmesi,
ç) Verilerin kağıt ortamı yoluyla aktarımı
gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından
görülmesi gibi risklere karşı gerekli önlemlerin alınması ve evrakın “gizlilik
dereceli belgeler” formatında gönderilmesi gerekir.
6- Yukarıda belirtilen önlemlerin yanı sıra
Kişisel Verileri Koruma Kurumunun internet sitesinde yayımlanan Kişisel Veri
Güvenliği Rehberinde belirtilen uygun güvenlik düzeyini temin etmeye yönelik
teknik ve idari tedbirler de dikkate alınmalıdır.