ÖZEL NİTELİKLİ KİŞİSEL VERİ İŞLEME PROSEDÜRÜ

1.   Amaç

CANTEK MÜHENDİSLİK TEKNİK MALZEME İNŞ.TAAH.SAN.VE TİC.LTD. ŞTİ. (“Şirket”) ’de kurumsal bilgilerin ve kişisel verilerin gizlilik, bütünlük ve erişilebilirlik unsurları açısından korunmasını sağlamak, Şirket tarafından Özel Nitelikli Kişisel Verilerin işlenmesine, korunmasına yönelik yöntem ve süreçlere ilişkin esasları belirlemektir.

2.   Kapsam

Şirket’deki tüm bilgi varlıkları ve Özel Nitelikli Kişisel Veri’ler bu prosedür kapsamındadır.

3.   Tanımlar

Açık Rıza

Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızadır.

İlgili Kullanıcı

Verilerin   teknik   olarak   depolanması,korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere  veri  sorumlusu  organizasyonu  içerisinde  veya  veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişilerdir.

Kişisel Veri/Veriler

Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir.

Özel Nitelikteki Kişisel Veri/Veriler

Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep

veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika

üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik

tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir.

Kişisel Verilerin İşlenmesi

Kişisel Verilerin tamamen veya kısmen otomatik olan ya da herhangi bir  veri  kayıt  sisteminin  parçası  olmak  kaydıyla otomatik  olmayan  yollarla  elde  edilmesi,  kaydedilmesi, depolanması, muhafaza  edilmesi değiştirilmesi,  yeniden düzenlenmesi, açıklanması, aktarılması, devralınması,  elde edilebilir    hâle    getirilmesi,    sınıflandırılması 

 ya da kullanılmasının engellenmesi gibi      veriler  üzerinde gerçekleştirilen her türlü işlemdir.                          

Doğrudan Tanımlayıcılar

Tek  başlarına,  ilişki  içinde  oldukları  kişiyi  doğrudan  açığa

çıkaran, ifşa eden ve ayırt edilebilir kılan tanımlayıcılarıdır.

Dolaylı Tanımlayıcılar

Diğer tanımlayıcılar ile bir araya gelerek ilişki içinde oldukları

kişiyi  açığa  çıkaran,  ifşa  eden  ve  ayırt  edilebilir  kılan

tanımlayıcılarıdır.

Kişisel Veri Sahibi/İlgili Kişi

Şirket iç ve dış paydaşları, Şirket yetkilileri, şirket iş ortakları,

tedarikçiler,  danışmanlarımız,  çalışanlarımız  ve  çalışan

adaylarımız, ziyaretçilerimiz, müşterilerimiz, potansiyel  müşteriler  ve  üçüncü  kişiler,  resmi  kurumlar, bankalar, bağımsız denetim kuruluşları gibi kişisel verisi şirket tarafından işlenen gerçek kişileri ifade eder.

Veri Sorumlusu

Kişisel verilerin işleme amaçlarını ve yöntemlerini belirleyen,

veri  kayıt  sisteminin  kurulmasından  ve  yönetilmesinden

sorumlu olan tüzel kişidir.

Veri İşleyen

Veri  sorumlusunun  verdiği  yetkiye  dayanarak  onun  adına

kişisel veri işleyen gerçek ve tüzel kişidir.

Kanun

6698 sayılı Kişisel Verilerin Korunması Kanunu’nu ifade eder.

Yönetmelik

28 Ekim 2017 tarihinde Resmi Gazete’de yayımlanan Kişisel Verilerin   Silinmesi,   Yok   Edilmesi   veya   Anonim   Hale Getirilmesi Hakkında Yönetmeliktir.

KVK Kurulu

Kişisel Verileri Koruma Kurulu’dur.

Kayıt Ortamı

Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt  sisteminin  parçası  olmak  kaydıyla  otomatik  olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamdır.

Veri Kayıt Sistemi

Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği

kayıt sistemini ifade eder.

İmha

Kişisel  verilerin  silinmesi,  yok  edilmesi  veya  anonim  hale getirilmesidir.

Anonim Hale Getirme

Daha öncesinde bir kişiyle ilişkilendirilmiş olan verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir  gerçek  kişiyle  ilişkilendirilemeyecek  hale getirilmesidir.

Kişisel Verilerin Silinmesi

Kişisel verilerin silinmesi; kişisel verilerin İlgili Kullanıcılar için hiçbir   şekilde   erişilemez   ve   tekrar   kullanılamaz   hale getirilmesidir.

Kişisel Verilerin Yok Edilmesi

Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri  getirilemez  ve  tekrar  kullanılamaz  hale  getirilmesi işlemidir.

Periyodik İmha

Kanun’da yer  alan  kişisel  verilerin  işlenme  şartlarının tamamının  ortadan  kalkması  durumunda  kişisel  verileri saklama  ve  imha  politikasında  belirtilen  ve  tekrar  eden aralıklarla  re’sen   gerçekleştirilecek  silme,  yok  etme  veya anonim hale getirme işlemidir.

4.   Sorumlular

Bu prosedürün hazırlanmasından IK ve Bilgi İşlem Bölümü, uygulanmasından tüm departmanlar, onaylanmasından ilgili birim yöneticileri sorumludur.

5.   Uygulama

İşbu politika, Şirket’in işlemekte olduğu Özel Nitelikli Kişisel Veriler’e yönelik tüm faaliyetleri kapsar ve söz konusu faaliyetlere uygulanır.

Özel Nitelikli Kişisel Veri niteliği taşıyan verilerin korunmasını ve kurumsal bilgilerin güvenliğini her zaman en üst düzeyde sağlar.

6698 Sayılı Kişisel Verileri Koruma Kanunu başta olmak üzere,  ilgili tüm yasa, yönetmelikler ve mevzuatların yanı sıra uluslararası standarda uygun bir şekilde çalışır.

Çalışanlarımızın, tedarikçilerimizin, iş ortaklarımızın, çevrenin ve toplumun sürekli memnuniyetini dengeli biçimde sağlamak için onlarla iş birliği içerisinde olup, başta 6698 Sayılı Kişisel Verileri Koruma Kanunu’nun gerekliliklerini ve diğer var olan yasal gereklilikleri karşılamaya özen gözetir.

Bilgi güvenliği amaç ve hedeflerini, ihtiyaç ve beklentilerini karşılayarak Özel Nitelikli Kişisel Veriler’in korunması bakımından bilgi güvenliğini her zaman en üst düzeyde sağlar.

Kurumun veri koruma kurulu tarafından belirlenmiş yöntem ile düzenli aralıklarla kurumun ilgili çalışanlarına kurumda işlenen Özel Nitelikli Kişisel Veriler hakkında farkındalık eğitimleri verilir.

Özel Nitelikli Kişisel Veriler’in işlenme şartı 6698 Sayılı Kişisel Verileri Koruma Kanunu’nda aşağıdaki şekilde tarif edilmiştir;

      Özel Nitelikli Kişisel Verilerin Işlenme Şartları

MADDE 6-

(1)  Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri Özel Nitelikli Kişisel Veridir.

 (2)  Özel Nitelikli Kişisel Verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.

 (3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

 (4) Özel Nitelikli Kişisel Verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.

İlgili Madde aşağıdaki şekilde açıklanabilir.

 

Kanunlarda Öngörülen Bir Hal

Madde 6

Varsa

Yoksa

  • Irk
  • Etnik Köken

Açık rıza aranmaz

Açık rıza şart

  • Siyasi Düşünce
  • Felsefi İnancı
  • Dini
  • Mezhebi
  • Diğer İnançları

Açık rıza aranmaz

Açık rıza şart

Kılık Kıyafet

Açık rıza aranmaz

Açık rıza şart

Üyelikler

  • Dernek
  • Vakıf
  • Sendika

Açık rıza aranmaz

Açık rıza şart

Sağlık Ve Cinsel Hayat

Kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi halinde açık rıza aranmaz.

Açık rıza şart

Ceza Mahkûmiyeti Ve Güvenlik Tedbirleri

Açık rıza aranmaz

Açık rıza şart

Biyometrik Ve Genetik Veriler

Açık rıza aranmaz

Açık rıza şart

Özel Nitelikli Kişisel Veriler, kişisel veri envanteri esas alınarak hangi süreçlerde, hangi departmanlar tarafından ve işleme amaçlarına göre tasnif edilerek erişim hakları tanımlı çalışanlarca işlenmesini esas alır. Özel Nitelikli Kişisel Veriler dâhil her türlü verinin işlenmesinde gerekli idari ve teknik tedbirler alınır.

Saklama sürelerine uyularak süre sonunda imha prosedüründe belirtilen esaslar dâhilinde imha edilir. Bu hususların dışında kalan her türlü uygulama veri ihlali kapsamında değerlendirilir.

Fiziksel olarak işlenen (toplanan, üzerinde işlem yapılarak yeniden düzenlenen, saklanan, gönderilen) tüm Özel Nitelikli Kişisel Veriler ve veri setleri sadece tanımlanmış kişilerce işlenir. Örneğin; Çalışan sağlık bilgileri sadece iş yeri hekimi ve diğer sağlık görevlisi tarafından işlenir. İşleme koşulları için gerekli tedbirler alınır. Örneğin; kilitli ve erişimi güç dolaplarda saklanır.

Bu verilerin transferi sırasında verinin çıkış noktasından varış noktasına kadar bütünlüğü ve ifşa edilemezliği sağlanır.

Elektronik olarak işlenen (toplanan, üzerinde işlem yapılarak yeniden düzenlenen, saklanan, gönderilen)  tüm Özel Nitelikli Kişisel Veriler sadece tanımlanmış kişilerce işlenir. Örneğin Erişim kontrolü için işlenen parmak izi, sadece IT birimi içinde görevlendirilmiş kişilerce işlenir.

Özel nitelikli elektronik verinin bulunduğu yapısal ortam şifreli ise şifre sadece tanımlı kişilerde bulunur. Veri, kriptolanarak saklanıyor ise kripto anahtarı sadece tanımlı kişilerde bulunur. Verinin kurum dışına çıkarılması durumunda veri ve erişim şifre ya da anahtarları ayrı ayrı ortamlarda gönderilir. Örneğin veri ve veri şifresi aynı e-mailde gönderilmez.

Yapısal olmayan Özel Nitelikli Kişisel Veriler (Dosya sunucu ve kişisel bilgisayarlardaki Word, Excel, Pdf vs.)   BT müdürlüğünün belirlediği ortak klasörlerde, belirlenmiş erişim yetkileri dâhilinde tutulur. Özel Nitelikli Kişisel Verilerin İşlenmesi, transferi ve saklanması için kriptolama veya şifreleme önlemleri alınır.

Özel Nitelikli Kişisel Veriler’in ayrı yedeklenmesi esastır.  Yukarıda bahsedilen kurallar; muhtelif ortamlara alınmış veri yedekleri için de aynen geçerlidir.

Yapılandırılmış ortamdaki (veri tabanları) Özel Nitelikli Kişisel Veriler’in korunması için veri tabanı tablo bazında veya kullanıcı ara yüzleri esas alınarak işlenen kişisel verilerin, işleme yetkisi olan kullanıcılar tarafından işlendiği temin edilir. Saklanma süreleri sona eren veriler tespit edilerek, saklama ve imha prosedüründe belirlenen esaslar dâhilinde kişisel veriler yok edilir.

Faaliyetlerimiz esnasında yeni bir Özel Nitelikli Kişisel Veri işleme süreci oluştuğunda; öncelikle Özel Nitelikli Kişisel Veri’nin (kanunlarda öngörülmemesi halinde) açık rıza kaydı alınmaksızın işlenemeyeceği göz önünde bulundurulur. (Yasanın madde 6(2) dikkate alınarak) . Gerekli açık rıza kayıtlarının alınması şarttır.

Sürecin sahipleri ile birlikte veri koruma kurulunun görevlendireceği diğer sorumlular ile birlikte süreç tariflenir, kişisel veri envanterine kayıt yapılır. Kayıt sonunda VERBİS’e beyan edilmesi gerekli olacak, ilgili kişi gruplar, işleme şartı, veri kategorisi, amaç, saklama süresi, idari ve teknik tedbirlerin VERBİS beyanından farklılıklar göstermesi halinde VERBİS bilgilerinde güncelleme yapılır.

Faaliyetlerimiz esnasında var olan ÖZEL NİTELİKLİ KİŞİSEL VERİ işleme süreci ortadan kalktığında;

  • Açık rızası bulunan ilgili kişiler bilgilendirilir,
  • Sürecin sahipleri ile birlikte veri koruma kurulunun görevlendireceği diğer sorumlular ile birlikte süreç, kişisel veri envanterinden silinir.

Kişisel veri envanterinden alınacak özet beyan tablosu incelenerek, VERBİS’e beyan edilmiş önceki bilgiler ile farklılıklar göstermesi halinde VERBİS’ e beyan bilgilerinde revizyon yapılır.

Saklama süresi sona eren ÖZEL NİTELİKLİ KİŞİSEL VERİ, İmha prosedüründe belirtilen şekilde imha edilir. Kişisel veri envanterinden silinir. Kişisel veri envanterinden alınacak özet beyan tablosu incelenerek, VERBİS’ e beyan edilmiş önceki bilgiler ile farklılıklar göstermesi halinde VERBİS’e beyan bilgilerinde güncelleme yapılır.

Veri işleyenler ile yapılan sözleşmeler çerçevesinde paylaşılan ÖZEL NİTELİKLİ KİŞİSEL VERİ’nin paylaşma ortamları, kuralları ve erişim yetkileri her bir veri işleyen ile ayrı ayrı belirlenerek sözleşme ya da projenin devam ettiği sürece yürürlükte kalır. Sözleşme bitiminde sır saklama yükümlülüğünün devam edeceği taraflarca dikkate alınır.

Olası ihlallerde öncelikle ÖZEL NİTELİKLİ KİŞİSEL VERİ’lere erişim hakları bulunan çalışanların aktiviteleri incelenir.

Kişisel Verilerin Korunması Politikasının duyurusunu yaparak tüm tarafların haberdar olmasını sağlar.

Bu politika, KVK düzenlemelerinin gerektirmesi halinde veya şirketin veri sorumlusu, temsilcisi veya Komite’nin gerekli gördüğü hallerde yönetim kurulu onayı ile değiştirilebilir. KVK,  işbu politika arasında bir uyumsuzluk olması halinde KVK Düzenlemeleri esas alınır.

6.   Kayıtlar

Bu prosedürün uygulanması sonucu ortaya çıkacak kayıtlar saklanır.

  1. Güncelleme Ve Uyum

Şirketimiz, Kanunda yapılan değişiklikler nedeniyle, Kurum kararları uyarınca ya da sektördeki ya da bilişim alanındaki gelişmeler doğrultusunda Özel Nitelikli Kişisel Veri İşleme Prosedüründe değişiklik yapma hakkını saklı tutar.

İşbu Özel Nitelikli Kişisel Veri İşleme Prosedüründe yapılan değişiklikler derhal metne işlenir ve değişikliklere ilişkin açıklamalar politikanın sonunda açıklanır.        

KVKK ve ilgili diğer mevzuat hükümleri ile işbu Politika arasında uyumsuzluk olması halinde, öncelikle KVKK ve ilgili diğer mevzuat hükümleri uygulanacaktır.

  1. Değişiklik Notları

TARİH

AÇIKLAMA

08.04.2018

Politika ilk kez oluşturuldu

ENDÜSTRİYEL ÇÖZÜMLERİNİZ İÇİN İLETİŞME GEÇİN