ÖZEL NİTELİKLİ KİŞİSEL VERİ İŞLEME PROSEDÜRÜ
CANTEK MÜHENDÜSLİK
ÖZEL NİTELİKLİ KİŞİSEL VERİ İŞLEME PROSEDÜRÜ
1. Amaç
CANTEK MÜHENDİSLİK TEKNİK MALZEME İNŞ.TAAH.SAN.VE TİC.LTD. ŞTİ. (“Şirket”) ’de kurumsal bilgilerin ve kişisel verilerin gizlilik, bütünlük ve erişilebilirlik unsurları açısından korunmasını sağlamak, Şirket tarafından Özel Nitelikli Kişisel Verilerin işlenmesine, korunmasına yönelik yöntem ve süreçlere ilişkin esasları belirlemektir.
2. Kapsam
Şirket’deki tüm bilgi varlıkları ve Özel Nitelikli Kişisel Veri’ler bu prosedür kapsamındadır.
3. Tanımlar
|
Açık Rıza |
Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızadır. |
|
İlgili Kullanıcı |
Verilerin teknik olarak depolanması,korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişilerdir. |
|
Kişisel Veri/Veriler |
Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir. |
|
Özel Nitelikteki Kişisel Veri/Veriler |
Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir. |
|
Kişisel Verilerin İşlenmesi |
Kişisel Verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemdir. |
|
Doğrudan Tanımlayıcılar |
Tek başlarına, ilişki içinde oldukları kişiyi doğrudan açığa çıkaran, ifşa eden ve ayırt edilebilir kılan tanımlayıcılarıdır. |
|
Dolaylı Tanımlayıcılar |
Diğer tanımlayıcılar ile bir araya gelerek ilişki içinde oldukları kişiyi açığa çıkaran, ifşa eden ve ayırt edilebilir kılan tanımlayıcılarıdır. |
|
Kişisel Veri Sahibi/İlgili Kişi |
Şirket iç ve dış paydaşları, Şirket yetkilileri, şirket iş ortakları, tedarikçiler, danışmanlarımız, çalışanlarımız ve çalışan adaylarımız, ziyaretçilerimiz, müşterilerimiz, potansiyel müşteriler ve üçüncü kişiler, resmi kurumlar, bankalar, bağımsız denetim kuruluşları gibi kişisel verisi şirket tarafından işlenen gerçek kişileri ifade eder. |
|
Veri Sorumlusu |
Kişisel verilerin işleme amaçlarını ve yöntemlerini belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan tüzel kişidir. |
|
Veri İşleyen |
Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişidir. |
|
Kanun |
6698 sayılı Kişisel Verilerin Korunması Kanunu’nu ifade eder. |
|
Yönetmelik |
28 Ekim 2017 tarihinde Resmi Gazete’de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliktir. |
|
KVK Kurulu |
Kişisel Verileri Koruma Kurulu’dur. |
|
Kayıt Ortamı |
Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamdır. |
|
Veri Kayıt Sistemi |
Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini ifade eder. |
|
İmha |
Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesidir. |
|
Anonim Hale Getirme |
Daha öncesinde bir kişiyle ilişkilendirilmiş olan verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. |
|
Kişisel Verilerin Silinmesi |
Kişisel verilerin silinmesi; kişisel verilerin İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesidir. |
|
Kişisel Verilerin Yok Edilmesi |
Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. |
|
Periyodik İmha |
Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemidir. |
4. Sorumlular
Bu prosedürün hazırlanmasından IK ve Bilgi İşlem Bölümü, uygulanmasından tüm departmanlar, onaylanmasından ilgili birim yöneticileri sorumludur.
5. Uygulama
İşbu politika, Şirket’in işlemekte olduğu Özel Nitelikli Kişisel Veriler’e yönelik tüm faaliyetleri kapsar ve söz konusu faaliyetlere uygulanır.
Özel Nitelikli Kişisel Veri niteliği taşıyan verilerin korunmasını ve kurumsal bilgilerin güvenliğini her zaman en üst düzeyde sağlar.
6698 Sayılı Kişisel Verileri Koruma Kanunu başta olmak üzere, ilgili tüm yasa, yönetmelikler ve mevzuatların yanı sıra uluslararası standarda uygun bir şekilde çalışır.
Çalışanlarımızın, tedarikçilerimizin, iş ortaklarımızın, çevrenin ve toplumun sürekli memnuniyetini dengeli biçimde sağlamak için onlarla iş birliği içerisinde olup, başta 6698 Sayılı Kişisel Verileri Koruma Kanunu’nun gerekliliklerini ve diğer var olan yasal gereklilikleri karşılamaya özen gözetir.
Bilgi güvenliği amaç ve hedeflerini, ihtiyaç ve beklentilerini karşılayarak Özel Nitelikli Kişisel Veriler’in korunması bakımından bilgi güvenliğini her zaman en üst düzeyde sağlar.
Kurumun veri koruma kurulu tarafından belirlenmiş yöntem ile düzenli aralıklarla kurumun ilgili çalışanlarına kurumda işlenen Özel Nitelikli Kişisel Veriler hakkında farkındalık eğitimleri verilir.
Özel Nitelikli Kişisel Veriler’in işlenme şartı 6698 Sayılı Kişisel Verileri Koruma Kanunu’nda aşağıdaki şekilde tarif edilmiştir;
Özel Nitelikli Kişisel Verilerin Işlenme Şartları
MADDE 6-
(1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri Özel Nitelikli Kişisel Veridir.
(2) Özel Nitelikli Kişisel Verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.
(3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
(4) Özel Nitelikli Kişisel Verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.
İlgili Madde aşağıdaki şekilde açıklanabilir.
|
|
Kanunlarda Öngörülen Bir Hal |
|
Madde 6 |
Varsa |
Yoksa |
|---|---|---|
|
Açık rıza aranmaz |
Açık rıza şart |
|
Açık rıza aranmaz |
Açık rıza şart |
|
Kılık Kıyafet |
Açık rıza aranmaz |
Açık rıza şart |
|
Üyelikler
|
Açık rıza aranmaz |
Açık rıza şart |
|
Sağlık Ve Cinsel Hayat |
Kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi halinde açık rıza aranmaz. |
Açık rıza şart |
|
Ceza Mahkûmiyeti Ve Güvenlik Tedbirleri |
Açık rıza aranmaz |
Açık rıza şart |
|
Biyometrik Ve Genetik Veriler |
Açık rıza aranmaz |
Açık rıza şart |
Özel Nitelikli Kişisel Veriler, kişisel veri envanteri esas alınarak hangi süreçlerde, hangi departmanlar tarafından ve işleme amaçlarına göre tasnif edilerek erişim hakları tanımlı çalışanlarca işlenmesini esas alır. Özel Nitelikli Kişisel Veriler dâhil her türlü verinin işlenmesinde gerekli idari ve teknik tedbirler alınır.
Saklama sürelerine uyularak süre sonunda imha prosedüründe belirtilen esaslar dâhilinde imha edilir. Bu hususların dışında kalan her türlü uygulama veri ihlali kapsamında değerlendirilir.
Fiziksel olarak işlenen (toplanan, üzerinde işlem yapılarak yeniden düzenlenen, saklanan, gönderilen) tüm Özel Nitelikli Kişisel Veriler ve veri setleri sadece tanımlanmış kişilerce işlenir. Örneğin; Çalışan sağlık bilgileri sadece iş yeri hekimi ve diğer sağlık görevlisi tarafından işlenir. İşleme koşulları için gerekli tedbirler alınır. Örneğin; kilitli ve erişimi güç dolaplarda saklanır.
Bu verilerin transferi sırasında verinin çıkış noktasından varış noktasına kadar bütünlüğü ve ifşa edilemezliği sağlanır.
Elektronik olarak işlenen (toplanan, üzerinde işlem yapılarak yeniden düzenlenen, saklanan, gönderilen) tüm Özel Nitelikli Kişisel Veriler sadece tanımlanmış kişilerce işlenir. Örneğin Erişim kontrolü için işlenen parmak izi, sadece IT birimi içinde görevlendirilmiş kişilerce işlenir.
Özel nitelikli elektronik verinin bulunduğu yapısal ortam şifreli ise şifre sadece tanımlı kişilerde bulunur. Veri, kriptolanarak saklanıyor ise kripto anahtarı sadece tanımlı kişilerde bulunur. Verinin kurum dışına çıkarılması durumunda veri ve erişim şifre ya da anahtarları ayrı ayrı ortamlarda gönderilir. Örneğin veri ve veri şifresi aynı e-mailde gönderilmez.
Yapısal olmayan Özel Nitelikli Kişisel Veriler (Dosya sunucu ve kişisel bilgisayarlardaki Word, Excel, Pdf vs.) BT müdürlüğünün belirlediği ortak klasörlerde, belirlenmiş erişim yetkileri dâhilinde tutulur. Özel Nitelikli Kişisel Verilerin İşlenmesi, transferi ve saklanması için kriptolama veya şifreleme önlemleri alınır.
Özel Nitelikli Kişisel Veriler’in ayrı yedeklenmesi esastır. Yukarıda bahsedilen kurallar; muhtelif ortamlara alınmış veri yedekleri için de aynen geçerlidir.
Yapılandırılmış ortamdaki (veri tabanları) Özel Nitelikli Kişisel Veriler’in korunması için veri tabanı tablo bazında veya kullanıcı ara yüzleri esas alınarak işlenen kişisel verilerin, işleme yetkisi olan kullanıcılar tarafından işlendiği temin edilir. Saklanma süreleri sona eren veriler tespit edilerek, saklama ve imha prosedüründe belirlenen esaslar dâhilinde kişisel veriler yok edilir.
Faaliyetlerimiz esnasında yeni bir Özel Nitelikli Kişisel Veri işleme süreci oluştuğunda; öncelikle Özel Nitelikli Kişisel Veri’nin (kanunlarda öngörülmemesi halinde) açık rıza kaydı alınmaksızın işlenemeyeceği göz önünde bulundurulur. (Yasanın madde 6(2) dikkate alınarak) . Gerekli açık rıza kayıtlarının alınması şarttır.
Sürecin sahipleri ile birlikte veri koruma kurulunun görevlendireceği diğer sorumlular ile birlikte süreç tariflenir, kişisel veri envanterine kayıt yapılır. Kayıt sonunda VERBİS’e beyan edilmesi gerekli olacak, ilgili kişi gruplar, işleme şartı, veri kategorisi, amaç, saklama süresi, idari ve teknik tedbirlerin VERBİS beyanından farklılıklar göstermesi halinde VERBİS bilgilerinde güncelleme yapılır.
Faaliyetlerimiz esnasında var olan ÖZEL NİTELİKLİ KİŞİSEL VERİ işleme süreci ortadan kalktığında;
- Açık rızası bulunan ilgili kişiler bilgilendirilir,
- Sürecin sahipleri ile birlikte veri koruma kurulunun görevlendireceği diğer sorumlular ile birlikte süreç, kişisel veri envanterinden silinir.
Kişisel veri envanterinden alınacak özet beyan tablosu incelenerek, VERBİS’e beyan edilmiş önceki bilgiler ile farklılıklar göstermesi halinde VERBİS’ e beyan bilgilerinde revizyon yapılır.
Saklama süresi sona eren ÖZEL NİTELİKLİ KİŞİSEL VERİ, İmha prosedüründe belirtilen şekilde imha edilir. Kişisel veri envanterinden silinir. Kişisel veri envanterinden alınacak özet beyan tablosu incelenerek, VERBİS’ e beyan edilmiş önceki bilgiler ile farklılıklar göstermesi halinde VERBİS’e beyan bilgilerinde güncelleme yapılır.
Veri işleyenler ile yapılan sözleşmeler çerçevesinde paylaşılan ÖZEL NİTELİKLİ KİŞİSEL VERİ’nin paylaşma ortamları, kuralları ve erişim yetkileri her bir veri işleyen ile ayrı ayrı belirlenerek sözleşme ya da projenin devam ettiği sürece yürürlükte kalır. Sözleşme bitiminde sır saklama yükümlülüğünün devam edeceği taraflarca dikkate alınır.
Olası ihlallerde öncelikle ÖZEL NİTELİKLİ KİŞİSEL VERİ’lere erişim hakları bulunan çalışanların aktiviteleri incelenir.
Kişisel Verilerin Korunması Politikasının duyurusunu yaparak tüm tarafların haberdar olmasını sağlar.
Bu politika, KVK düzenlemelerinin gerektirmesi halinde veya şirketin veri sorumlusu, temsilcisi veya Komite’nin gerekli gördüğü hallerde yönetim kurulu onayı ile değiştirilebilir. KVK, işbu politika arasında bir uyumsuzluk olması halinde KVK Düzenlemeleri esas alınır.
6. Kayıtlar
Bu prosedürün uygulanması sonucu ortaya çıkacak kayıtlar saklanır.
- Güncelleme Ve Uyum
Şirketimiz, Kanunda yapılan değişiklikler nedeniyle, Kurum kararları uyarınca ya da sektördeki ya da bilişim alanındaki gelişmeler doğrultusunda Özel Nitelikli Kişisel Veri İşleme Prosedüründe değişiklik yapma hakkını saklı tutar.
İşbu Özel Nitelikli Kişisel Veri İşleme Prosedüründe yapılan değişiklikler derhal metne işlenir ve değişikliklere ilişkin açıklamalar politikanın sonunda açıklanır.
KVKK ve ilgili diğer mevzuat hükümleri ile işbu Politika arasında uyumsuzluk olması halinde, öncelikle KVKK ve ilgili diğer mevzuat hükümleri uygulanacaktır.
- Değişiklik Notları
|
TARİH |
AÇIKLAMA |
|
08.04.2018 |
Politika ilk kez oluşturuldu |