ÖZEL NİTELİKLİ KİŞİSEL VERİ İŞLEME PROSEDÜRÜ

  1. Amaç


Aydoğan Entegre A.Ş (“Şirket”) ’de kurumsal bilgilerin ve kişisel verilerin gizlilik, bütünlük ve erişilebilirlik unsurları açısından korunmasını sağlamak, Şirket tarafından Özel Nitelikli Kişisel Verilerin işlenmesine, korunmasına yönelik yöntem ve süreçlere ilişkin esasları belirlemektir.

  1. Kapsam


Şirket’deki tüm bilgi varlıkları ve Özel Nitelikli Kişisel Veri’ler bu prosedür kapsamındadır.

  1. Tanımlar

Açık Rıza

Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızadır.

İlgili Kullanıcı

Verilerin  teknik  olarak  depolanması,korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişilerdir.

Kişisel Veri/Veriler

Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir.

Özel Nitelikteki Kişisel Veri/Veriler

Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep

veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika

üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik

tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir.

Kişisel Verilerin İşlenmesi

Kişisel Verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir   hâle   getirilmesi,   sınıflandırılması 

 ya da kullanılmasının engellenmesi gibi      veriler üzerinde gerçekleştirilen her türlü işlemdir.                           

Doğrudan Tanımlayıcılar

Tek başlarına, ilişki içinde oldukları kişiyi doğrudan açığa

çıkaran, ifşa eden ve ayırt edilebilir kılan tanımlayıcılarıdır.

Dolaylı Tanımlayıcılar

Diğer tanımlayıcılar ile bir araya gelerek ilişki içinde oldukları

kişiyi açığa çıkaran, ifşa eden ve ayırt edilebilir kılan

tanımlayıcılarıdır.

Kişisel Veri Sahibi/İlgili Kişi

Şirket iç ve dış paydaşları, Şirket yetkilileri, şirket iş ortakları,

tedarikçiler, danışmanlarımız, çalışanlarımız ve çalışan

adaylarımız, ziyaretçilerimiz, müşterilerimiz, potansiyel müşteriler ve üçüncü kişiler, resmi kurumlar, bankalar, bağımsız denetim kuruluşları gibi kişisel verisi şirket tarafından işlenen gerçek kişileri ifade eder.

Veri Sorumlusu

Kişisel verilerin işleme amaçlarını ve yöntemlerini belirleyen,

veri kayıt sisteminin kurulmasından ve yönetilmesinden

sorumlu olan tüzel kişidir.

Veri İşleyen

Veri sorumlusunun verdiği yetkiye dayanarak onun adına

kişisel veri işleyen gerçek ve tüzel kişidir.

Kanun

6698 sayılı Kişisel Verilerin Korunması Kanunu’nu ifade eder.

Yönetmelik

28 Ekim 2017 tarihinde Resmi Gazete’de yayımlanan Kişisel Verilerin  Silinmesi,  Yok  Edilmesi  veya  Anonim  Hale Getirilmesi Hakkında Yönetmeliktir.

KVK Kurulu

Kişisel Verileri Koruma Kurulu’dur.

Kayıt Ortamı

Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamdır.

Veri Kayıt Sistemi

Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği

kayıt sistemini ifade eder.

İmha

Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesidir.

Anonim Hale Getirme

Daha öncesinde bir kişiyle ilişkilendirilmiş olan verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.

Kişisel Verilerin Silinmesi

Kişisel verilerin silinmesi; kişisel verilerin İlgili Kullanıcılar için hiçbir  şekilde  erişilemez  ve  tekrar  kullanılamaz  hale getirilmesidir.

Kişisel Verilerin Yok Edilmesi

Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

Periyodik İmha

Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen  gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemidir.


Bu prosedürün hazırlanmasından IK ve Bilgi İşlem Bölümü, uygulanmasından tüm departmanlar, onaylanmasından ilgili birim yöneticileri sorumludur.


İşbu politika, Şirket’in işlemekte olduğu Özel Nitelikli Kişisel Veriler’e yönelik tüm faaliyetleri kapsar ve söz konusu faaliyetlere uygulanır.

Özel Nitelikli Kişisel Veri niteliği taşıyan verilerin korunmasını ve kurumsal bilgilerin güvenliğini her zaman en üst düzeyde sağlar.

6698 Sayılı Kişisel Verileri Koruma Kanunu başta olmak üzere, ilgili tüm yasa, yönetmelikler ve mevzuatların yanı sıra uluslararası standarda uygun bir şekilde çalışır.

Çalışanlarımızın, tedarikçilerimizin, iş ortaklarımızın, çevrenin ve toplumun sürekli memnuniyetini dengeli biçimde sağlamak için onlarla iş birliği içerisinde olup, başta 6698 Sayılı Kişisel Verileri Koruma Kanunu’nun gerekliliklerini ve diğer var olan yasal gereklilikleri karşılamaya özen gözetir.

Bilgi güvenliği amaç ve hedeflerini, ihtiyaç ve beklentilerini karşılayarak Özel Nitelikli Kişisel Veriler’in korunması bakımından bilgi güvenliğini her zaman en üst düzeyde sağlar.

Kurumun veri koruma kurulu tarafından belirlenmiş yöntem ile düzenli aralıklarla kurumun ilgili çalışanlarına kurumda işlenen Özel Nitelikli Kişisel Veriler hakkında farkındalık eğitimleri verilir.

Özel Nitelikli Kişisel Veriler’in işlenme şartı 6698 Sayılı Kişisel Verileri Koruma Kanunu’nda aşağıdaki şekilde tarif edilmiştir;

     Özel Nitelikli Kişisel Verilerin Işlenme Şartları

MADDE 6-

(1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri Özel Nitelikli Kişisel Veridir.

 (2) Özel Nitelikli Kişisel Verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.

 (3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

 (4) Özel Nitelikli Kişisel Verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.

İlgili Madde aşağıdaki şekilde açıklanabilir.

 

Madde 6

Irk

Etnik Köken

Kanunlarda Öngörülen Bir Hal Varsa

Açık rıza aranmaz

Kanunlarda Öngörülen Bir Hal Yoksa

Açık rıza şart



Madde 6

Siyasi Düşünce

Felsefi İnancı

Dini

Mezhebi

Diğer İnançları

Kanunlarda Öngörülen Bir Hal Varsa

Açık rıza aranmaz

Kanunlarda Öngörülen Bir Hal Yoksa

Açık rıza şart


Madde 6

Kılık Kıyafet

Kanunlarda Öngörülen Bir Hal Varsa

Açık rıza aranmaz

Kanunlarda Öngörülen Bir Hal Yoksa

Açık rıza şart


Madde 6

Üyelikler

Dernek

Vakıf

Sendika

Kanunlarda Öngörülen Bir Hal Varsa

Açık rıza aranmaz

Kanunlarda Öngörülen Bir Hal Yoksa

Açık rıza şart


Madde 6

Sağlık Ve Cinsel Hayat

Kanunlarda Öngörülen Bir Hal Varsa

Kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi halinde açık rıza aranmaz.

Kanunlarda Öngörülen Bir Hal Yoksa

Açık rıza şart


Madde 6

Ceza Mahkûmiyeti Ve Güvenlik Tedbirleri

Kanunlarda Öngörülen Bir Hal Varsa

Açık rıza aranmaz

Kanunlarda Öngörülen Bir Hal Yoksa

Açık rıza şart


Madde 6

Biyometrik Ve Genetik Veriler

Kanunlarda Öngörülen Bir Hal Varsa

Açık rıza aranmaz

Kanunlarda Öngörülen Bir Hal Yoksa

Açık rıza şart


Özel Nitelikli Kişisel Veriler, kişisel veri envanteri esas alınarak hangi süreçlerde, hangi departmanlar tarafından ve işleme amaçlarına göre tasnif edilerek erişim hakları tanımlı çalışanlarca işlenmesini esas alır. Özel Nitelikli Kişisel Veriler dâhil her türlü verinin işlenmesinde gerekli idari ve teknik tedbirler alınır.

Saklama sürelerine uyularak süre sonunda imha prosedüründe belirtilen esaslar dâhilinde imha edilir. Bu hususların dışında kalan her türlü uygulama veri ihlali kapsamında değerlendirilir.

Fiziksel olarak işlenen (toplanan, üzerinde işlem yapılarak yeniden düzenlenen, saklanan, gönderilen) tüm Özel Nitelikli Kişisel Veriler ve veri setleri sadece tanımlanmış kişilerce işlenir. Örneğin; Çalışan sağlık bilgileri sadece iş yeri hekimi ve diğer sağlık görevlisi tarafından işlenir. İşleme koşulları için gerekli tedbirler alınır. Örneğin; kilitli ve erişimi güç dolaplarda saklanır.

Bu verilerin transferi sırasında verinin çıkış noktasından varış noktasına kadar bütünlüğü ve ifşa edilemezliği sağlanır.

Elektronik olarak işlenen (toplanan, üzerinde işlem yapılarak yeniden düzenlenen, saklanan, gönderilen) tüm Özel Nitelikli Kişisel Veriler sadece tanımlanmış kişilerce işlenir. Örneğin Erişim kontrolü için işlenen parmak izi, sadece IT birimi içinde görevlendirilmiş kişilerce işlenir.

Özel nitelikli elektronik verinin bulunduğu yapısal ortam şifreli ise şifre sadece tanımlı kişilerde bulunur. Veri, kriptolanarak saklanıyor ise kripto anahtarı sadece tanımlı kişilerde bulunur. Verinin kurum dışına çıkarılması durumunda veri ve erişim şifre ya da anahtarları ayrı ayrı ortamlarda gönderilir. Örneğin veri ve veri şifresi aynı e-mailde gönderilmez.

Yapısal olmayan Özel Nitelikli Kişisel Veriler (Dosya sunucu ve kişisel bilgisayarlardaki Word, Excel, Pdf vs.)  BT müdürlüğünün belirlediği ortak klasörlerde, belirlenmiş erişim yetkileri dâhilinde tutulur. Özel Nitelikli Kişisel Verilerin İşlenmesi, transferi ve saklanması için kriptolama veya şifreleme önlemleri alınır.

Özel Nitelikli Kişisel Veriler’in ayrı yedeklenmesi esastır. Yukarıda bahsedilen kurallar; muhtelif ortamlara alınmış veri yedekleri için de aynen geçerlidir.

Yapılandırılmış ortamdaki (veri tabanları) Özel Nitelikli Kişisel Veriler’in korunması için veri tabanı tablo bazında veya kullanıcı ara yüzleri esas alınarak işlenen kişisel verilerin, işleme yetkisi olan kullanıcılar tarafından işlendiği temin edilir. Saklanma süreleri sona eren veriler tespit edilerek, saklama ve imha prosedüründe belirlenen esaslar dâhilinde kişisel veriler yok edilir.

Faaliyetlerimiz esnasında yeni bir Özel Nitelikli Kişisel Veri işleme süreci oluştuğunda; öncelikle Özel Nitelikli Kişisel Veri’nin (kanunlarda öngörülmemesi halinde) açık rıza kaydı alınmaksızın işlenemeyeceği göz önünde bulundurulur. (Yasanın madde 6(2) dikkate alınarak) . Gerekli açık rıza kayıtlarının alınması şarttır.

Sürecin sahipleri ile birlikte veri koruma kurulunun görevlendireceği diğer sorumlular ile birlikte süreç tariflenir, kişisel veri envanterine kayıt yapılır. Kayıt sonunda VERBİS’e beyan edilmesi gerekli olacak, ilgili kişi gruplar, işleme şartı, veri kategorisi, amaç, saklama süresi, idari ve teknik tedbirlerin VERBİS beyanından farklılıklar göstermesi halinde VERBİS bilgilerinde güncelleme yapılır.

Faaliyetlerimiz esnasında var olan ÖZEL NİTELİKLİ KİŞİSEL VERİ işleme süreci ortadan kalktığında;


  • Açık rızası bulunan ilgili kişiler bilgilendirilir,
  • Sürecin sahipleri ile birlikte veri koruma kurulunun görevlendireceği diğer sorumlular ile birlikte süreç, kişisel veri envanterinden silinir.

Kişisel veri envanterinden alınacak özet beyan tablosu incelenerek, VERBİS’e beyan edilmiş önceki bilgiler ile farklılıklar göstermesi halinde VERBİS’ e beyan bilgilerinde revizyon yapılır.

Saklama süresi sona eren ÖZEL NİTELİKLİ KİŞİSEL VERİ, İmha prosedüründe belirtilen şekilde imha edilir. Kişisel veri envanterinden silinir. Kişisel veri envanterinden alınacak özet beyan tablosu incelenerek, VERBİS’ e beyan edilmiş önceki bilgiler ile farklılıklar göstermesi halinde VERBİS’e beyan bilgilerinde güncelleme yapılır.

Veri işleyenler ile yapılan sözleşmeler çerçevesinde paylaşılan ÖZEL NİTELİKLİ KİŞİSEL VERİ’nin paylaşma ortamları, kuralları ve erişim yetkileri her bir veri işleyen ile ayrı ayrı belirlenerek sözleşme ya da projenin devam ettiği sürece yürürlükte kalır. Sözleşme bitiminde sır saklama yükümlülüğünün devam edeceği taraflarca dikkate alınır.

Olası ihlallerde öncelikle ÖZEL NİTELİKLİ KİŞİSEL VERİ’lere erişim hakları bulunan çalışanların aktiviteleri incelenir.

Kişisel Verilerin Korunması Politikasının duyurusunu yaparak tüm tarafların haberdar olmasını sağlar.

Bu politika, KVK düzenlemelerinin gerektirmesi halinde veya şirketin veri sorumlusu, temsilcisi veya Komite’nin gerekli gördüğü hallerde yönetim kurulu onayı ile değiştirilebilir. KVK, işbu politika arasında bir uyumsuzluk olması halinde KVK Düzenlemeleri esas alınır.

  1. Kayıtlar


Bu prosedürün uygulanması sonucu ortaya çıkacak kayıtlar saklanır.

Güncelleme Ve Uyum


Şirketimiz, Kanunda yapılan değişiklikler nedeniyle, Kurum kararları uyarınca ya da sektördeki ya da bilişim alanındaki gelişmeler doğrultusunda Özel Nitelikli Kişisel Veri İşleme Prosedüründe değişiklik yapma hakkını saklı tutar.

İşbu Özel Nitelikli Kişisel Veri İşleme Prosedüründe yapılan değişiklikler derhal metne işlenir ve değişikliklere ilişkin açıklamalar politikanın sonunda açıklanır.   

KVKK ve ilgili diğer mevzuat hükümleri ile işbu Politika arasında uyumsuzluk olması halinde, öncelikle KVKK ve ilgili diğer mevzuat hükümleri uygulanacaktır.



Değişiklik Notları

TARİH

AÇIKLAMA

 

08.04.2018

Politika ilk kez oluşturuldu

26.10.2020

Genel Düzenleme Yapıldı

Yükleniyor