Özel Nitelikli Kişisel Verilerin İşlenmesi ve Güvenliği Politikası
Hasçelik Sanayi ve Ticaret Anonim Şirketi
İÇİNDEKİLER
1.AMAÇ
2.KAPSAM
3. YETKİ VE SORUMLULUKLAR
4. TANIMLAR VE KISALTMALAR
5. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ
6. ÇALIŞANLARIN ÖZEL NİTELİKLİ KİŞİSEL VERİLERİ İŞLEMESİ
7. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİ SAKLAMA SÜRESİ VE İMHASI
8. GÜVENLİK POLİTİKALARI
9. KÖZEL NİTELİKLİ KİŞİSEL VERİLERİN MUHAFAZASI İLE HUKUKA AYKIRI OLARAK İŞLENMESİ VE ERİŞİLMESİNİN ÖNLENMESİNİ SAĞLAMAK İÇİN ALINAN TEKNİK VE İDARİ TEDBİRLER
10.KİŞİSEL VERİLERİN HUKUKA UYGUN OLARAK İMHA EDİLMESİ İÇİN ALINAN TEKNİK VE İDARİ TEDBİRLER
11.ÖZEL NİTELİKLİ KİŞİSEL VERİ ÖZNESİNİN (İLGİLİ KİŞİNİN) HAKLARI
12.EĞİTİM
13. DENETİM
14. POLİTİKADA YAPILACAK DEĞİŞİKLİKLER
15. REFERANSLAR VE DAYANAK
15. İLGİLİ DOKÜMANLAR
17. POLİTİKANIN YÜRÜRLÜLÜK TARİHİ
18. EK-1 KİŞİ GRUPLARI
AMAÇ
HASÇELİK SANAYİ VE TİCARET ANONİM ŞİRKETİ (bundan sonra “ HASÇELİK” olarak anılacaktır.) olarak, 6698 sayılı Kişisel Verilerin Korunma Kanunu (“ KVKK”) ve ilgili mevzuata uygun olarak özel nitelikli kişisel verileri işlemekte ve güvenliğini sağlamaktayız.
İşbu Özel Nitelikli Kişisel Verilerin İşlenmesi ve Güvenliği Politikası (“ Politika”),“Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” ile ilgili Kişisel Verileri Koruma Kurulu’nun 31/01/2018 tarihli ve 2018/10 sayılı kararı (“ Kurul Kararı”) uyarınca, veri sorumlusu olarak özel nitelikli kişisel verilerin işlenmesine yönelik aldığımız önlemlerin belirlenmesi amacıyla hazırlanmıştır.
Bu Politika, Şirket bünyesinde işlenen, aktarılan ve saklanan tüm özel nitelikli kişisel verileri kapsamaktadır.
İşbu Politika ile HASÇELİK’in Kişisel Veri Güvenliği Politika ve Prosedürleri (“ Güvenlik Politikaları”) birbirlerini tamamlayıcı nitelikte olup, bu Politika’da bahsedilmeyen hususlar için Güvenlik Politikaları’nın incelenmesi gerekmektedir.
HASÇELİK, veri sorumlusu olarak, uhdesinde bulunan özel nitelikli kişisel veri işlerken, üçüncü kişiler ile paylaşırken ve veri kayıt ortamlarında saklarken işbu Politika’ya uygun olarak hareket edecektir.
KAPSAM
İşbu Politika, aşağıdaki kişilere ait edindiğimiz ve edinebileceğimiz özel nitelikli kişisel verilerin uygun güvenlik düzeyini sağlamaya yönelik faaliyetlerimizi kapsamaktadır:
- Şirketimizin çalışanları, çalışan adayları, eski çalışanları ve stajyerleri,
- Şirket temsilcileri, vekilleri ve hissedarları,
- İş ortaklarımızın çalışanları, temsilcileri ve vekilleri,
- Müşterilerimizi ve potansiyel müşterilerimizi,
- Kamu/özel kurum ve kuruluşu çalışanları,
- Hukuken yetkili kişileri,
- Ziyaretçileri,
- Diğer üçüncü kişileri.
Bu kişi grubu tanımlarına ilişkin açıklamalar, EK-1’de yer verilmektedir.
YETKİ VE SORUMLULUKLAR
HASÇELİK Çalışanları: HASÇELİK, çalışanlarının kişisel verilerini Kanun’a ve ilgili mevzuata uygun olarak toplamak, işlemek ve güvenli bir şekilde muhafaza etmekle yükümlüdür.
TANIMLAR VE KISALTMALAR
Kişisel Veri | Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi. |
Özel Nitelikli Kişisel Veri | Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler. |
İlgili Kişi | Kişisel verisi işlenen gerçek kişi. |
Kişisel Verilerin İşlenmesi | Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem. |
Açık Rıza | Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza. |
KVKK/Kanun | 7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazete’de yayımlanan, 24 Mart 2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu. |
Kurul | Kişisel Verileri Koruma Kurulu. |
Kurum | Kişisel Verileri Koruma Kurumu. |
Kurul Kararı | “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” ile ilgili Kişisel Verileri Koruma Kurulu’nun 31/01/2018 tarihli, 2018/10 sayılı kararıdır. |
Politika | Özel Nitelikli Kişisel Verilerin İşlenmesi ve Güvenliği Politikası. |
Güvenlik Politikaları | Kişisel Veri Güvenliği Politika ve Prosedürleri |
Veri Sorumlusu | Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, verilerin sistematik bir şekilde tutulduğu yeri yöneten kişidir. |
Veri İşleyen | Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişidir. |
Kişisel Veri İşleme Envanteri | Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçlarını, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve detaylandırdıkları envanteridir. |
ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ
HASÇELİK, kişisel verilerin işlenmesine ilişkin KVKK’da belirtilen genel ilkelere uymakla yükümlüdür. Bu kapsamda HASÇELİK, özel nitelikli kişisel veriler işlerken aşağıdaki ilkelere uygun olarak hareket edecektir:
- Hukuka ve dürüstlük kuralına uygun olarak kişisel verileri işleme,
- Kişisel verilerin doğru ve gerektiğinde güncel olmasını sağlama,
- Kişisel verileri belirli, açık ve meşru amaçlarla işleme,
- Kişisel verileri işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olarak işleme,
- İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etme.
HASÇELİK, yukarıda bahsedilen genel ilkeler ile beraber KVKK’nın 6. maddesinde belirtilen şartlara uygun olarak özel nitelikli kişisel verileri işlemekle yükümlüdür. Bu kapsamda HASÇELİK, aşağıdaki şartlardan birine dayalı olarak özel nitelikli kişisel verileri işleme faaliyeti yürütebilecektir:
- Özel nitelikli kişisel verilerin işlenmesine yönelik ilgili kişinin açık rızasının alınması,
- Sağlık ve cinsel hayata ilişkin kişisel veriler hariç, özel nitelikli kişisel verinin işlenmesinin kanunda öngörülmesi,
- Sağlık ve cinsel hayata ilişkin kişisel veriler ise, açık rıza aranmaksızın, ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenebilmektedir.
Bu Politikada yer almayan hususlarda Kişisel Verilerin İşlenmesi ve Korunması Hakkında Politika hükümleri uygulanır.
HASÇELİK, özel nitelikli kişisel verileri KVKK’nın 8. ve 9. maddelerinde belirtilen veri işleme şartlarına uygun olarak üçüncü kişiler ile paylaşabilecektir. Özel nitelikli kişisel verileri üçüncü kişilere aktarması esnasında, HASÇELİK, Kurul Kararı’nda belirtilen güvenlik önlemlerini alacaktır. Bu kapsamda HASÇELİK, özel nitelikli kişisel verileri;
- e-posta ile aktardığı durumlarda, şifreli olarak kurumsal e-posta adresi veya Kayıtlı Elektronik Posta (KEP) hesabı kullanmaktadır,
- farklı fiziksel ortamlardaki sunucular arasında aktardığı durumlarda, sunucular arasında VPN kurarak ya da sFTP yöntemiyle verileri aktarmaktadır,
- kağıt üzerinden aktardığı durumlarda, belgenin çalınması, kaybolması ya da yetkisi kişisel tarafından erişilmesi gibi risklere karşı gerekli önlemleri almakta ve belgeyi “gizlilik dereceli belgeler” formatında göndermektedir.
Şirket, özel nitelikli kişisel verileri, yukarıdaki bölümde belirtilen işleme şartlarından ve aşağıda belirtilen şartlardan birinin varlığı halinde üçüncü kişilere aktarabilecektir:
- Veri öznesinin açık rızası var ise,
- Kanunlarda özel nitelikli kişisel verinin aktarılacağına ilişkin açık bir düzenleme var ise,
- Veri öznesinin veya başkasının hayatı veya beden bütünlüğünün korunması için zorunlu ise ve veri öznesi fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda ise veya rızasına hukuki geçerlilik tanınmıyorsa;
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verinin aktarılması gerekli ise,
- Şirketin hukuki yükümlülüğünü yerine getirmesi için kişisel veri aktarımı zorunlu ise,
- ŞÖzel nitelikli kişisel veriler, veri öznesinin kendisi tarafından alenileştirilmiş ise,
- Özel nitelikli kişisel veri aktarımı bir hakkın tesisi, kullanılması veya korunması için zorunlu ise,
- Veri öznesinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Şirketin meşru menfaatleri için kişisel veri aktarımı zorunlu ise.
Şirket, gerekli özeni göstererek, gerekli güvenlik tedbirlerini ve Kurul tarafından öngörülen yeterli önlemleri alarak, meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda, veri öznesinin özel nitelikli kişisel verilerini aşağıdaki durumlarda yeterli korumaya sahip veya yeterli korumayı taahhüt eden veri sorumlusunun bulunduğu yabancı ülkelere aktarabilmektedir. Yeterli korumanın bulunmaması durumunda ise mevzuatta öngörülen veri aktarım şartları doğrultusunda Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülkelere aktarılabilir.
HASÇELİK, yukarıda detaylıca bahsi geçen genel ilke ve işleme şartlarına uygun bir şekilde özel nitelikli kişisel verileri muhafaza etmektedir. Özel nitelikli kişisel verilerin muhafaza edildiği ve/veya erişildiği ortamlara ilişkin, HASÇELİK, Kurul Kararı’nda belirtilen güvenlik önlemlerini alacaktır. Bu kapsamda HASÇELİK,
- özel nitelikli kişisel verileri kriptografik yöntemler kullanılarak muhafaza etmekte ve kriptografik anahtarları güvenli ve farklı ortamlarda tutmaktadır,
- özel nitelikli kişisel veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarının güvenli olarak loglanmaktadır,
- özel nitelikli kişisel verilerin bulunduğu ortamlara ait güvenlik güncellemelerinin sürekli takip etmekte, gerekli güvenlik testlerinin düzenli olarak yaptırmakta ve test sonuçlarını kayıt altına almaktadır,
- özel nitelikli kişisel verilere bir yazılım aracılığı ile erişildiği hallerde bu yazılıma ait kullanıcı yetkilendirmeleri yapılmaktadır,
- özel nitelikli kişisel verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sistemi sağlanmaktadır,
- özel nitelikli kişisel verilerinin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise, elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı önlemleri almaktadır. Bu ortamların fiziksel güvenliği sağlanarak yetkisiz giriş çıkışları engellenmektedir.
ÇALIŞANLARIN ÖZEL NİTELİKLİ KİŞİSEL VERİLERİ İŞLEMESİ
HASÇELİK, özel nitelikli kişisel verileri işleyen çalışanları için Kurul Kararı’nda belirtilen aşağıdaki tedbirleri almaktadır:
- Personellere, kişisel verilerin güvenliğinin sağlanması, hukuka aykırı olarak açıklanmaması ve paylaşılmamasına ilişkin gerekli eğitim ve farkındalık çalışmaları yapılmaktadır.
- TÇalışanlar ile gizlilik sözleşmesi akdedilmektedir.
- Personeller, çalıştığı departmana ve iş rolüne göre kişisel verilerin bulunduğu sunuculara erişim için yetkilendirilmektedir. Bu yetkilerin kapsamı ve süreleri net olarak belirlenmektedir.
- Dönemsel olarak yetki kontrolleri yapılmaktadır.
- Çalışanların görev değiştirmesi veya işten ayrılması halinde verilere erişim yetkileri kaldırılmakta ve kendisine verilen envanter geri alınmaktadır.
ÖZEL NİTELİKLİ KİŞİSEL VERİLERİ SAKLAMA SÜRESİ VE İMHASI
İşbu Politikada belirtilen amaçlarla işlenmiş olan kişisel verileriniz; KVKK madde 7/1’e göre işlenmesi gerektiren amaç ortadan kalktığında ve kanunların belirlediği süreler geçince tarafımızca silinecek, yok edilecek ve anonimleştirilecektir.
Şirket, kişisel verileri hiçbir şekilde gelecekte kullanma ihtimalini göz önünde bulundurarak saklamaz.
Şirketin kişisel veriler üzerinde uygulayacağı tüm silme, yok etme ve anonim hale getirme faaliyetleri Kişisel Veri Saklama, İmha ve Anonimleştirme Politikası’nda belirtilen esaslara uygun olarak gerçekleştirilecektir.
Kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileriniz silinecek, yok edilecek veya anonim hale getirilecektir. Bu süre herhalde altı (6) ayı aşamayacaktır.
Telafisi güç veya imkânsız zararların doğması ve açıkça hukuka aykırılık olması halinde, Kurul bu maddede belirlenen süreyi kısaltabilecektir.
Tamamen veya kısmen otomatik yollarla işlenen kişisel verilerin silinmesi; söz konusu kişisel verilerin ilgili kullanıcılar tarafından hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Veri sorumlusu, ilgili politika ve prosedürlerinde kişisel verilerin silinmiş sayılması için üçüncü fıkrada belirtilen koşulların nasıl sağlandığını açıklar.
Tarama yoluyla veya sayısallaştırılmadan elektronik ortama aktarılan kâğıt halindeki gerekli olmayan kişisel verilerin anonimleştirilmesi yoluyla yapılacaktır. Şirket, kişisel verileri sildiği durumlarda, verileri hiçbir şekilde erişilemez veya tekrar kullanılamaz hale getirecektir. Şirket bu işlemi yaparken verilerin hiçbir kullanıcı tarafından erişilemez veya tekrar kullanılamaz olduğunu garanti etmektedir. Bu garanti, veri sorumlusunun sorumluluğu altındadır.
Yok etme işlemi, Şirketin verileri fiziksel kayıt ortamlarında işlediği durumlarda yapılacaktır ve Şirket bu verileri tekrar geri getirilmesi mümkün olmayacak hale getirmekle yükümlüdür.
Bu işlemler sırasında Şirket çalışanları ve ilgili departmanlar sorumluya yok edilecek ilgili verileri bildirmekle yükümlüdür, sonrasında ise Şirket gerekli her türlü teknik ve idari tedbiri alacaktır.
Anonim hale getirme işlemi, Şirket 'in kişisel verileri fiziksel veya otomatik yollarla işlediği durumlarda, bu verilerin başka verilerle eşleştirilse dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.
Şirketin uhdesinde bulunan özel nitelikli kişisel veriler belirli periyodik aralıklarla kontrol edilecek ve bu verilerden işleme şartları tamamen ortadan kalkmış olanlar silinecek, yok edilecek ya da anonim hale getirilecektir.
Periyodik imha, tüm kişisel veriler için 6 (altı) aylık zaman aralıklarında gerçekleştirilir. Anılan süre, her hal ve koşulda Yönetmelik’in 11. maddesinde belirtilen azami periyodik imha süresini aşmamaktadır. Şirket, KVKK ve ilgili mevzuat kapsamında Kurul’un süreleri kısaltması durumunda, yeni sürelere uyum sağlayacağını taahhüt eder.
Özel nitelikli kişisel verilere uygulanacak bu periyodik inceleme ve imha işlemleri Şirket tarafından oluşturulan ve uygulamada olan Kişisel Veri İşleme Envanteri’nde yer almaktadır.
İmha kapsamında gerçekleştirilen tüm işlemler Şirket tarafından kayıt altına alınmakta ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az 3 (üç) yıl süreyle saklanmaktadır. Şirketin diğer hukuki yükümlülüklerden kaynaklanan kişisel verileri muhafaza etme yükümlülüğü saklıdır.
GÜVENLİK POLİTİKALARI
HASÇELİK, özel nitelikli kişisel veriler dahil olmak üzere işlediği tüm kişisel verilerin güvenliğini sağlamak amacıyla Kurum’un internet sitesinde yayınladığı Kişisel Veri Güvenliği Rehber’inde belirtilen teknik ve idari tedbirlere uygun olarak kişisel veri güvenliği politika ve prosedürleri oluşturmuştur.
İşbu kişisel veri güvenliği politika ve prosedürleri, işlenen kişisel verilerin hukuka uygunluğunu sağlamak, hukuka aykırı olarak erişilmesini önlemek ve muhafazasını sağlamak amaçlarıyla uygun güvenlik düzeyini sağlamaya yönelik HASÇELİK’in aldığı teknik ve idari tedbirlere yer vermektedir. Bu kapsamda Güvenlik Politikaları’nda yer alan tüm teknik ve idari tedbirler, işbu Politika’da belirlenen tedbirlere ek olarak özel nitelikli kişisel verileri işleme faaliyetlerinde uygulanmaktadır.
Şirket tarafından veya Şirketin konu hakkında hizmet desteği aldığı uzman eğitmenler tarafından Özel Nitelikli Kişisel Verilerin İşlenmesi süreçlerinde yer alan çalışanlara yönelik:
- KVKK Düzenlemeleri ile Özel Nitelikli Kişisel Veri güvenliği konularında düzenli olarak eğitimler verilir,
- Gizlilik sözleşmeleri yapılır,
- Özel Nitelikli Kişisel Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamları ve süreleri net olarak tanımlanır,
- Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri derhal kaldırılır. Bu kapsamda, Şirket tarafından kendisine tahsis edilen envanter iade alınır.
Özel Nitelikli Kişisel Verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise:
- Veriler kriptografik yöntemler kullanılarak muhafaza edilir,
- Kriptografik anahtarlar güvenli ve farklı ortamlarda tutulur,
- Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtları güvenli olarak loglanır,
- Verilerin bulunduğu ortamlara ait güvenlik güncellemeleri sürekli olarak takip edilir, gerekli güvenlik testleri düzenli olarak Şirket tarafından yapılır veya yaptırılır, test sonuçları kayıt altına alınır,
- Verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirilmeleri yapılır, bu yazılımların güvenlik testleri düzenli olarak Şirket tarafından yapılır veya yaptırılır, test sonuçları kayıt altına alınır,
- Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sistemi sağlanır.
Özel Nitelikli Kişisel Verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise:
- Özel Nitelikli Kişisel Verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemleri (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alınır,
- Bu ortamların fiziksel güvenliği sağlanarak yetkisiz giriş çıkışların engellenir.
Özel Nitelikli Kişisel Veriler üçüncü kişilere aktarılacaksa:
- Verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılır,
- Taşınabilir bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenir ve kriptografik anahtar farklı ortamda tutulur,
- Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya SFTP yöntemiyle veri aktarımı gerçekleştirilir,
- Verilerin kâğıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması, ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınır ve evrakın “gizlilik dereceli belgeler” formatında gönderimi sağlanır.
ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN MUHAFAZASI İLE HUKUKA AYKIRI OLARAK İŞLENMESİ VE ERİŞİLMESİNİN ÖNLENMESİNİ SAĞLAMAK İÇİN ALINAN TEKNİK VE İDARİ TEDBİRLER
Özel Nitelikli Kişisel Verilerinizin Hukuka Uygun Saklanması ile Hukuka Aykırı Olarak İşlenmesi ve Erişilmesinin Önlenmesini Sağlamak için Alınan Teknik Tedbirler
- Kişisel veri saklama, işleme ve erişilme faaliyetleri kurulan teknik sistemlerle denetlenmektedir.
- Virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılımlar ve donanımlar kullanılmaktadır.
- Alınan teknik önlemler ilgilisine raporlanmaktadır.
- Teknik konularda bilgili personel istihdam edilmektedir.
- Erişim yetkileri sınırlandırılmakta, yetkiler düzenli olarak gözden geçirilmektedir.
- Kişisel verilerin güvenli bir biçimde saklanmasını sağlamak için hukuka uygun bir biçimde yedekleme programları kullanılmaktadır.
- Kişisel verilerin bulunduğu veri depolama alanlarına erişimler loglanarak uygunsuz erişimler veya erişim denemeleri ilgililere anlık olarak iletilmektedir.
Kişisel Verilerin Hukuka Uygun Saklanması ile Hukuka Aykırı Olarak İşlenmesi ve Erişilmesinin Önlenmesini Sağlamak için Alınan İdari Tedbirler
- Çalışanlar, kişisel verilerin korunması hukuku ve kişisel verilerin hukuka uygun olarak saklanması, işlenmesi konusunda bilgilendirilmekte ve eğitilmektedir.
- Kişisel Veri İşleme envanterinde kişisel verileri işleyecek, saklayacak, erişebilecek personel belirlenmiştir.
- Yürütülen tüm faaliyetler detaylı olarak tüm bölümler özelinde analiz edilmekte, bu analiz neticesinde ilgili iş birimlerinin gerçekleştirmiş olduğu ticari ve idari faaliyetler özelinde kişisel veri işleme faaliyetleri ortaya konulmaktadır.
- Bölümler bazında belirlenen hukuksal uyum gerekliliklerinin sağlanması için ilgili bölümler özelinde farkındalık yaratılmakta ve uygulama kuralları belirlenmekte; bu hususların denetimini ve uygulamanın sürekliliğini sağlamak için gerekli idari tedbirler şirket içi politikalar ve eğitimler yoluyla hayata geçirilmektedir.
- Çalışanlar, öğrendikleri kişisel verileri Kanun hükümlerine aykırı olarak başkasına açıklayamayacağı ve işleme amacı dışında kullanamayacağı ve bu yükümlülüğün görevden ayrılmalarından sonra da devam edeceği konusunda bilgilendirilmekte ve bu doğrultuda kendilerinden gerekli taahhütler alınmaktadır.
- Çalışanlar arasındaki hukuki ilişkiyi yöneten sözleşme ve belgelere Şirket’in talimatları ve kanunla getirilen istisnalar dışında, kişisel verileri işlememe, ifşa etmeme ve kullanmama yükümlülüğü getiren kayıtlar konulmakta ve bu konuda çalışanların farkındalığı yaratılmaktadır
KİŞİSEL VERİLERİN HUKUKA UYGUN OLARAK İMHA EDİLMESİ İÇİN ALINAN TEKNİK VE İDARİ TEDBİRLER
- Yazılımdan Güvenli Olarak Silme: Tamamen veya kısmen otomatik olan yollarla işlenen ve dijital ortamlarda muhafaza edilen veriler silinirken; ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilecek biçimde verinin ilgili yazılımdan silinmesine ilişkin yöntemler kullanılır.
- Bulut Sisteminde İlgili Verilerin Silme Komutu Verilerek Silinmesi: Merkezi sunucuda bulunan dosya veya dosyanın bulunduğu dizin üzerinde ilgili kullanıcının erişim haklarının kaldırılması; veri tabanlarında ilgili satırların veri tabanı komutları ile silinmesi veya taşınabilir medyada yani flash ortamında bulunan verilerin uygun yazılımlar kullanılarak silinmesi bu kapsamda sayılabilecektir.
Ancak, kişisel verilerin silinmesi işlemi, diğer verilere de sistem içerisinde erişilememe ve bu verileri kullanamama sonucunu doğuracak ise, aşağıdaki koşulların sağlanması kaydıyla, kişisel verilerin ilgili kişiyle ilişkilendirilemeyecek duruma getirilerek arşivlenmesi halinde de kişisel veriler silinmiş sayılacaktır.
- Başka herhangi bir kurum, kuruluş veyahut kişinin erişimine kapalı olması,
- Teknik konularda bilgili personel istihdam edilmektedir.
- Kişisel verilere yalnızca yetkili kişiler tarafından erişilmesini sağlayacak şekilde gerekli her türlü teknik ve idari tedbirlerin alınması.
- Uzman Tarafından Güvenli Olarak Silme: Bazı durumlarda kendisi adına kişisel verileri silmesi için Şirket bir uzman ile anlaşabilir. Bu durumda, kişisel veriler bu konuda uzman olan kişi tarafından İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilecek biçimde güvenli olarak silinecektir.
- Kâğıt Ortamında Bulunan Kişisel Verilerin Karartılması: Kişisel verilerin amaca yönelik olmayan kullanımını önlemek veya silinmesi talep edilen verileri silmek için ilgili kişisel verilerin fiziksel olarak kesilerek belgeden çıkartılması veya geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit mürekkep kullanılarak görünemeyecek hale getirilmesi, kapatılması yöntemidir.
- De-manyetize Etme: Manyetik medyanın yüksek manyetik alanlara maruz kalacağı özel cihazlardan geçirilerek üzerindeki verilerin okunamaz bir biçimde bozulması yöntemidir.
- Fiziksel Yok Etme: Kişisel veriler herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla da işlenebilmektedir. Bu tür veriler yok edilirken kişisel verinin sonradan kullanılamayacak biçimde fiziksel olarak yok edilmesi sistemi uygulanmaktadır. Kâğıt ve mikrofiş ortamındaki verilerin yok edilmesi de başka bir şekilde yok edilmeleri mümkün olmadığından bu şekilde gerçekleştirilmektedir.
- Üzerine Yazma: Üzerine yazma yöntemi, özel yazılımlar aracılığı ile manyetik medya ve yeniden yazılabilir optik medya üzerinden en az yedi kez 0 ve 1’lerden oluşan rastgele veriler yazılmasıdır.
- Değer Düzensizliği Sağlamayan Anonim Hale Getirme Yöntemleri: Değer düzensizliği sağlamayan anonim hale getirme yöntemleri ile saklanmakta olan kişisel verilerde bir değişiklik veya ekleme/çıkarma yapılmaksızın; herhangi bir kişisel veri grubunun genelleme, birbiri ile yer değiştirme veya gruptan belirli bir veri veya alt veri grubunun çıkarılmasıdır.
- Değişken Çıkartma: Betimleyici nitelikteki verilerin çıkartılması yöntemi ile toplanılan verilerin bir araya getirilmesinden sonra oluşturulan veri setindeki değişkenlerden “yüksek dereceli betimleyici” olanların çıkartılması ile mevcut veri setinin anonim hale getirilmesidir.
- Kayıtları Çıkartma: Veriler arasında tekillik ihtiva eden veri satırı kayıtlar arasından çıkartılarak saklanan veriler anonim hale getirilmektedir.
- Bölgesel Gizleme: Tek bir verinin çok az görülebilir bir kombinasyon yaratması sebebi ile belirleyici niteliği mevcut ise ilgili verinin gizlenmesi ile anonimleştirme sağlanmaktadır.
- Alt ve Üst Sınır Kodlama: Alt ve üst sınır kodlaması yöntemi ile önceden tanımlanmış kategorilerin yer aldığı bir veri grubundaki değerlerin belirli bir ölçüt belirlenerek birleştirilmesiyle anonim hale getirilmesidir.
- Genelleştirme:Veri toplulaştırma yöntemi ile birçok veri toplulaştırılmakta ve kişisel veriler herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmektedir.
- Global Kodlama:Veri türetme yöntemi ile kişisel verinin içeriğinden daha genel bir içerik oluşturulmakta ve kişisel verinin herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmesi sağlanmaktadır.
- Değer Düzensizliği Sağlayan Anonim Hale Getirme Yöntemleri:Değer düzensizliği sağlayan anonim hale getirme yöntemlerinde değer düzensizliği sağlamayanların aksine kişisel veri gruplarında bazı verilerin değiştirilmesi ile bozulma yaratılmaktadır.
- Gürültü Ekleme: Verilere gürültü ekleme yöntemi özellikle sayısal verilerin ağırlıklı olduğu bir veri setinde mevcut verilere belirlenen oranda artı veya eksi yönde birtakım sapmalar eklenerek veriler anonim hale getirilmektedir.
- Mikro Birleştirme: Mikro birleştirme yönteminde tüm veriler ilk olarak anlamlı bir sıraya dizilerek gruplara ayrılıp, grupların ortalaması alınarak elde edilen değer mevcut gruptaki ilgili verilerin yerine yazılarak anonimleştirme sağlanmaktadır.
- Veri Değiş Tokuşu: Veri değiş tokuşu yönteminde saklanan veriler içerisinden seçilen çiftler arasında bir değişkenin değerleri birbiri ile değiştirilmektedir.
Yukarıda sayılan durumların gerçekleşmesi sırasında KVKK, Yönetmelik ve ilgili diğer mevzuat hükümlerine veri güvenliğinin sağlanması amacıyla tam uyum sağlanmakta ve gerekli tüm idari ve teknik tedbirler alınmaktadır.
ÖZEL NİTELİKLİ KİŞİSEL VERİ ÖZNESİNİN (İLGİLİ KİŞİNİN) HAKLARI
Şirketimizin faaliyetleri kapsamında işlenen kişisel veriler ile ilgili olarak veri öznesi, KVVK’nin 11. maddesinde sayılı haklarınız çerçevesinde, Şirketimize başvurarak;
- Kişisel verilerinin işlenip işlenmediğini öğrenme,
- Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
- Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
- Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
- Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
- KVKK’nin 7. maddesinde öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
- (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
- Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahiptir.
Veri özneleri haklarını kullanmak istediği ve/veya kişisel verileri işlerken Şirketin işbu Politika kapsamında hareket etmediğini düşündüğü durumlarda taleplerini, Şirket internet sitesinde yer alan formu doldurarak veya kendi taleplerini Kurum tarafından belirlenen şartları taşıyacak şekilde oluşturarak yukarıda verilen ve zaman zaman değişebilecek olan e-posta adresine, Şirkete daha önce bildirilmiş ve Şirket sistemine kayıtlı olan e-posta adresinden gönderebilecekleri e-posta ile (sisteme kayıtlı e-posta adresi kontrol edilmelidir) veya güvenli elektronik imzalı veya mobil imzalı olarak Şirket kep adresine yahut yine yukarıda yer alan ve zaman zaman değişebilecek olan posta adresine kimliklerini tevsik edici belgeler ile birlikte ıslak imzalı bir dilekçe ile elden ya da noter aracılığıyla teslim edebilirler ve ileride bunlara eklenebilecek Kurum tarafından belirlenen diğer yöntemlerle gönderebilirler. Güncel başvuru yöntemleri ve başvuru içeriği başvuru öncesinde mevzuattan teyit edilmelidir.
Veri öznelerinin yukarıda sıralanan haklarına ilişkin taleplerini yazılı olarak Şirket’e iletmeleri durumunda Şirket talebin niteliğine göre talebi en geç otuz (30) gün içinde ücretsiz olarak sonuçlandırır. Taleplerin Veri Sorumlusu tarafından sonuçlandırılmasına ilişkin ayrıca bir maliyet doğması hâlinde Kişisel Verileri Koruma Kurulunca belirlenen tarifedeki ücretler Veri Sorumlusu tarafından talep edilebilir.
EĞİTİM
Şirket, özel nitelikli kişisel verilerin korunması konusunda çalışanlarına Şirket Politika ve Prosedürleri ile KVKK Düzenlemeleri kapsamında gerekli eğitimleri verir.
Eğitimlerde özel nitelikli kişisel verilerin tanımlarına ve korunmasına yönelik uygulamalara özellikle değinilir.
Şirket çalışanı kişisel verilere fiziksel olarak veya bilgisayar ortamında erişiyorsa, Şirket ilgili çalışanına bu erişimler özelinde (örneğin erişilen bilgisayar programı) eğitim verir.
DENETİM
Şirket, Şirket’in tüm çalışanları, departmanları ve yüklenicilerinin işbu Politika ve KVKK düzenlemelerine uygun hareket ettiğini düzenli olarak hiçbir ön bildirimde bulunmaksızın her zaman ve resen denetleme hakkını haizdir ve bu kapsamda gerekli rutin denetimleri yapar.
POLİTİKADA YAPILACAK DEĞİŞİKLİKLER
Şirket tarafından işbu Politika zaman zaman Yönetim Kurulu onayı ile değiştirilebilir.
Şirket, Politika üzerinde yaptığı değişiklikler incelenebilecek şekilde güncellenen Politika metnini e-posta yolu ile çalışanlarıyla paylaşır veya aşağıdaki web adresi üzerinden çalışanların ve diğer ilgili kişilerin erişimine sunar.
İşbu Politikanın hazırlanmış olduğu Türkçe dilindeki metni ile Şirket tarafından yayınlanan herhangi bir dildeki çeviri metni arasında bir uyuşmazlık çıktığı hallerde, Türkçe metin esas alınacaktır.
REFERANSLAR VE DAYANAK
"Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler" ile ilgili Kişisel Verileri Koruma Kurulunun 31/01/2018 Tarihli ve 2018/10 Sayılı Kararı
İLGİLİ DOKÜMANLAR
Kişisel Veri ve Bilgi Güvenliği Politikası
POLİTİKANIN YÜRÜRLÜLÜK TARİHİ
İşbu Politika’nın ilk versiyonu …/…/… tarihi itibariyle Şirket’in tüm kişisel veri saklama ve imha faaliyetlerine uygulanmak üzere Yönetim Kurulu tarafından onaylanarak yürürlüğe girmiştir.
İşbu Politika’nın hazırlanmış olduğu Türkçe dilindeki metni ile Şirket tarafından yayınlanan herhangi bir dildeki çeviri metni arasında bir uyuşmazlık çıktığı hallerde, Türkçe metin esas alınacaktır.
EK-1 KİŞİ GRUPLARI
KİŞİ GRUPLARI | AÇIKLAMALAR |
Müşteri | HASÇELİK’ten halihazırda ürün/hizmet alan veya alma taahhüdünde bulunan kişiler. |
Potansiyel Müşteri | HASÇELİK’ten halihazırda ilgili ürünü/hizmeti almayan ancak alması muhtemel kişiler. |
Şirket Temsilcisi veya Vekili | HASÇELİK’i temsil veya vekil eden kişiler (HASÇELİK’in danışmanlık aldığı avukatlar, HASÇELİK’in temsil ve ilzama yetkili yönetim kurulu üyesi). |
Hissedar/Ortak | HASÇELİK’te pay sahibi olan gerçek kişiler. |
Tedarikçi | HASÇELİK’in hizmet aldığı firmaların çalışanı, çalışan adayı, temsilcisi veya vekili. |
İş Ortağı | HASÇELİK’in faaliyetlerinde beraber çalıştığı firmaların çalışanı, çalışan adayı, temsilcisi veya vekili. |
Çalışan | HASÇELİK’in işveren olarak çalıştırdığı ve aralarında iş sözleşmesi bulunan kişiler. |
Çalışan Adayı | HASÇELİK’e herhangi bir yolla iş başvurusunda bulunmuş ya da özgeçmiş ve ilgili bilgilerini HASÇELİK’in incelemesine açmış olan gerçek kişiler. |
Stajyer | HASÇELİK’te stajyerliğini yapan gerçek kişiler. |
Ziyaretçi | HASÇELİK şirket yerleşkelerini ve internet sitelerini ziyaret eden kişiler. |
Hukuken Yetkili Kişi | Hukuken yetkili kamu kurum ve kuruluşları veya özel kişi ve kuruluşlarında çalışan kişiler. |
Üçüncü Kişi | Burada belirtilmeyen diğer gerçek kişiler (Örn. Kefil, eski çalışan vs.) |