1.AMAÇ: Bu prosedürün amacı 6698 Sayılı Kişisel Verilen Korunması Kanunu gereği firmamızda yürütülen Bilgi Güvenliği Sistemi içinde yazılı ve elektronik ortamda bulunan bütün kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak, firmamızda kişisel verilerin işlenmesi kapsamında görevlendirmeleri tanımlamak ve bu görevlendirmeler doğrultusunda uyulması gereken yasal yükümlülükleri, usul ve esasları belirlemektir.
2.KAPSAM: Bu prosedür bütün birimleri kapsar.
- TANIMLAR:
KVKK: Kişisel Verilen Korunması Kanunu
BGYS: Bilgi Güvenliği Yönetim Sistemi
AÇIK RIZA: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
ANONİM HÂLE GETİRME: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi.
İLGİLİ KİŞİ: Kişisel verisi işlenen gerçek kişi.
KİŞİSEL VERİ: Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir. Bu tanım gereği bir gerçek kişinin belirli olmasını veya belirlenebilmesini sağlayan ve belirli veya belirlenebilir olan bir gerçek kişiye ait her türlü bilgidir. (KVKK md.3/d)
KİŞİSEL VERİLERİN İŞLENMESİ: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
VERİ İŞLEYEN: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen kişi.
VERİ KAYIT SİSTEMİ: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi.
VERİ SORUMLUSU: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan kişi,
KURUL: Kişisel Verileri Koruma Kurulu,
- İŞLEM:
4.1. Firmamız tarafından, 6698 Sayılı Kişisel Verilen Korunması Kanunu gereği firmamızda yürütülen Bilgi Güvenliği Yönetim Sistemi içinde yazılı ve elektronik ortamda bulunan kişisel verilerle birlikte firmamıza ait bütün bilgilerin bütünlüğünün sağlanması, korunması, muhafazası, erişilmesi ve bütün kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerin korunması, firmamızda kişisel verilerin işlenmesi kapsamında görevlendirmelerin tanımlanması ve bu görevlendirmeler doğrultusunda uyulması gereken yasal yükümlülüklerin, usul ve esasların belirlenmesi için uluslararası uygulanan Bilgi Güvenliği Yönetim Sistemi (BGYS) standardına göre bir sistem kurulmuş ve uygulamaya konulmuştur.
4.2. Özellikle bu prosedürde kişisel verilerin belirlenmesi, toplanması, işlenmesi, aktarılması, imhası, alenileştirilmesi gibi 6698 Sayılı kanun kapsamında talep edilen işlemler tanımlanmıştır.
Yine bu 6698 Sayılı kanun kapsamında kişisel verilerle ilgili alınması gereken fiziki ve idari tedbirler firmamızda uygulanan Bilgi Güvenliği Yönetim Sistemi (BGYS) içinde tanımlanmıştır.
4.3. Kişisel veriler
Kanununda da tanımlandığı üzere kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her
türlü bilgidir. Firmamızda da kimliği belirli veya belirlenebilen bütün gerçek kişilerle ilgili her türlü bilgi
BGYS kapsamında tanımlanmıştır.
4.4. Kişisel verilerin toplanması ve sınıflandırılması
Firmamızda tanımlanmış olan kişisel veriler aşağıda tanımlandığı şekilde toplanmaktadır:
4.4.1. Şirketimizde çalışanların iş başvuruları ve yapılan hizmet sözleşmesi gereği gerekli olan ve özel
nitelikli kişisel bilgi olmayan (6698 Sayılı Kanun,Md.6) bilgiler olarak toplanır. Bu bilgiler İş Kanunu, SGK ve Genel Sağlık Kanunu, Vergi Kanunu ve İş Sağlığı ve Güvenliği Kanunu ile mevzuatı gereğince toplanması gereken ve sahip olunması gereken bilgilerdir.
4.4.2. Şirket çalışanlarının işe başlamaları için gereken sağlık raporları ve sağlık sorunları ile sağlık kuruluşlarına müracaat ve tedavileri sonucu işyerine ibraz edilen sağlık kuruluşu raporları nedeniyle toplanan sağlık bilgileri.
4.4.3. Şirketimizin tedarik anlaşmaları gereğince iş yaptığı gerçek kişiler ile tüzel kişilere ait şirket temsilcilerine ait sözleşme gereği alınan, toplanan kişisel veriler.
4.4.4 Şirketimizin satış ve pazarlama faaliyetleri sebebi ile hukuki işlem tesis edilen gerçek kişilere ait kişisel veriler ile tüzel kişi temsilcisine ait kişisel veri bilgileri, işin niteliğine ve gereğine uygun veriler.
4.4.5 Firmamızda kişisel verilerin sınıflandırılması ise yine yasal mevzuat çerçevesinde şu şekilde yapılmıştır;
- Kişisel veriler 6698 Sayılı Kanun, Md.6 da sıralanan özel nitelikli kişisel veriler ile bu veriler
dışında kalan kişisel veriler olarak ilk sınıflandırma kanunla yapılmıştır
- 6698 Sayılı Kanunun 4. Md. Kapsamında toplanan kişisel veriler:
- Çalışanların verileri,
- Bağlam kuruluşlara ait kişisel veriler,
- Satış,Pazarlama departman kişisel verileri,
- Tedarik sözleşmeleri departman kişisel verileri,
- Kanunen şirketimizle bağlantılı kamu kuruluşları temsilcilerinin varsa kişisel bilgileri şeklinde ikinci sınıflandırma yapılmıştır.
4.4.6. Ayrıca BGYS kapsamında ,kişisel veriler sınıflandırma, derecelendirme ve gruplandırma işlemine tabi tutulmuş; gizlilik, bütünlük ve erişilebilirlik gibi açılardan değerlendirilerek verilerin işlenmesi, aktarılması, korunması gibi konularda tedbirlerin alınması sağlanmıştır.
4.5. Kişisel Verilerin İşlenmesi
Firmamızda kişisel veriler, yasalarda öngörülen usul ve esaslara uygun olarak işlenir. Kişisel verilerin
işlenmesinde aşağıdaki ilkelere uyulur:
- a) Hukuka ve dürüstlük kurallarına uygunluk.
- b) Verilerin doğruluğu ve güncelliğinin sağlanması.
- c) Belirli, açık ve meşru amaçlar için işlenmesi.
ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması.
- d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi.
4.6. Kişisel verilerin işlenme şartları
Firmamızda kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel veriler işlenebilir:
- a) Kanunlarda açıkça öngörülmesi.
- b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
- c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
- d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
- e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
- f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
4.7. Özel nitelikli kişisel verilerin işlenme şartları
4.7.1. Firmamızda özel nitelikli kişisel veriler ; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri gibi verler özel nitelikli kişisel veriler olarak tanımlanmıştır.
4.7.2. Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.
4.7.3. Bu verilerden 4.3.1. maddesinde belirtilen sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir.
4.7.4. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
4.7.5. Firmamızda özel nitelikli kişisel verilerin işlenmesinde alınacak yeterli ve gerekli tedbirler BGYS kapsamında tanımlanmıştır.
4.8. Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesi
4.8.1. Firmamızda kişisel veriler, bu kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından; verinin bulunduğu ortama göre (yazılı ortam veya elektronik ortama göre), 6698 Sayılı Kişisel Verilen Korunması Kanunu , 28 Ekim 2017 tarihli, günü tarihli ve 30224 sayılı Resmî Gazetede yayınlanan Kişisel verilerin silinmesine, yok edilmesine veya anonim hâle getirilmesine ilişkin usul ve esaslar yönetmeği ve firmamızda uygulanan BGYS siteminde tanımlanan verilerin silinmesi, imha edilmesi ve anonim hale getirilmesi sistemine göre veriler; verilir silinir, yok edilir veya anonim hâle getirilir.
4.9. Kişisel verilerin aktarılması
4.9.1. Firmamız BGYS sitemine göre kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz.
4.9.2. Kişisel veriler; aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin aktarılması mümkündür:
- a) Kanunlarda açıkça öngörülmesi.
- b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
- c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin aktarılmasının gerekli olması.
ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
- d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
- e) Bir hakkın tesisi, kullanılması veya korunması için veri aktarımının zorunlu olması.
- f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri aktarımının zorunlu olması.
4.9.3. Firmamızda kişisel verilerin aktarılmasına ilişkin ilgili bütün yasal şartlar dikkate alınarak, BGYS sisteminde tanımlanan gerekli önlemler alınarak aşağıda belirtilen şartlardan birinin bulunması hâlinde, ilgili kişinin açık rızası aranmaksızın aktarılır:
Sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın aktarılabilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın aktarılır.
4.9.4. Kişisel verilerin yurt dışına aktarılması
Firmamızda kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz. Ancak, kişisel verinin aktarılacağı yabancı ülkede; yeterli korumanın bulunması veya yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve kurulun izninin bulunması kaydıyla ve aşağıdaki şartlardan birisinin olması durumunda kişisel veriler, ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir:
- a) Kanunlarda açıkça öngörülmesi.
- b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
- c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin aktarılmasının gerekli olması.
ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
- d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
- e) Bir hakkın tesisi, kullanılması veya korunması için veri aktarımının zorunlu olması.
- f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri aktarımının zorunlu olması,
- g) Sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılır. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın yurt dışına aktarılır.
4.9.5 Firmamız çalışanlarına ait kişisel veriler, ülkemizin yasal bütün mevzuatları dikkate alınarak, uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurulun izniyle yurt dışına aktarılabilir.
4.10. Haklar ve Yükümlülükler
4.10.1. Firmamızda kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere firmamızca hazırlanmış Kişisel Verilerin İşlenmesi Hakkında Aydınlatma Metni ile aşağıdaki
konularda bilgi vererek aydınlatmakla yükümlüdür ;
- a) Veri sorumlusunun ve varsa temsilcisinin kimliği,
- b) Kişisel verilerin hangi amaçla işleneceği,
- c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi,
- d) 6.2. maddesinde belirtilen hakları,
4.10.2. Firmamızda her çalışan, veri sorumlusuna başvurarak kendisiyle ilgili aşağıdaki konularla ilgili bilgi alma hakkına sahiptir;
- a) Kişisel veri işlenip işlenmediğini öğrenme,
- b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
- c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
- d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
- e) Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme,
- f) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesi ve kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesi durumunda yapılan bu işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme,
4.11. Veri güvenliğine ilişkin yükümlülükler
4.11.1. KVKK gereği şirketimiz veri sorumlusu olarak Kanunen muhatap ve veri sorumlusu kurumdur. Veri sorumlusu olan şirketimizi Kişisel Verileri Koruma Kurulu’na karşı temsil yetkilisi ve şirketimizin aynı yönetmelik 11.md 4. Bendi gereği irtibat kişisinin atamaları yapılmıştır.
Bu kapsamda firmamızca atanmış olan veri sorumlusunun yükümlülükleri BGYS-GRV-002 nolu Görev Yetki ve Sorumluluk dokümanında tanımlanmış olup, bu yükümlülükler veri sorumlsusu tarafından eksiksiz yerine getirilir.
4.11.2. Firmamız KVKK gereği veri sorumlusu olan şirketimizin kanunen belirlenen temsile yetkilisi ile temsilci tarafından belirlenen irtibat görevlisine aşağıdaki konularda bilgilendirilmeler yapılmıştır.
- Kişisel verilerin neler olduğu ve grupları,
- Kişisel verilerin nasıl toplanacağı,
- Kişisel verilerin nasıl sınıflandırılacağı,
- Kişisel verilerin nasıl işleneceği (Md.4,5,6)
- Kişisel verilerin aktarılmasında esaslar (Md.8,9)
- Aydınlatma yükümlülüğü (Md.10)
- İlgili kişinin hakları (Md.11)
- Veri güvenliğine ilişkin hükümler(Md.12)
- Verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi(Md.7)
- İlgili kişinin başvurusu, inceleme ve sonuçlandırılması (Md.15)
- Kişisel verilerin korunmasında sorun ve ilgilisine ve kuruma bilgi verme,
- Aydınlatma yükümlülüğü ve kapsamı ,
- Kanundan kaynaklanan hukuki ve cezai sorumluluklar hakkında bilgi,
4.12. Başvuru, Şikâyet ve Veri Sorumluları Sicili
4.12.1. İlgili kişi tarafından, bu Kanunun uygulanmasıyla ilgili talepleri yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle veri sorumlusuna iletilir.
4.12.2. Veri sorumlusu tarafından başvuruda yer alan talepler, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırılır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Kurulca belirlenen tarifedeki ücret alınır.
4.12.3. Veri sorumlusu tarafından talep kabul edilir veya gerekçesi açıklanarak reddedilir. Ve cevabı ilgili kişiye yazılı olarak veya elektronik ortamda bildirilir. Başvuruda yer alan talebin kabul edilmesi hâlinde veri sorumlusunca gereği yerine getirilir. Başvurunun veri sorumlusunun hatasından kaynaklanması hâlinde alınan ücret ilgiliye iade edilir.
4.12.4. Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; ilgili kişi tarafından , veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabilir.
4.13.Kişisel verilere erişim
4.13.1. Kişisel verilere erişim konusunda; hangi tedbirlerin alındığı, bilgilere kimlerin nasıl ve ulaşacağı, nasıl bir yol izleneceği ve nelerin yapılacağı firmamızda uygulanan BGYS kapsamında hazırlanan güvenlik talimatlarında tanımlanmıştır.
4.14. Fiziki ve alt yapı tedbirleri
4.14.1. Firmamızda gerek kişisel veriler gerekse firmamıza ait verilerin korunması, muhafazası, bu verilere
ulaşılabilmesi, değiştirilmesi, bütünlüğünün bozulması, yetkisiz kişilerce ele geçirilmesi ve amacı dışında kullanılması, imha edilmesi, sabote edilmesi, çalınması, deprem, sel, yangın gibi olaylara maruz kalmasına karşılık BGYS kapsamında tanımlandığı şekilde gerekli tedbirler alınmıştır.
5 .SORUMLULUK: Bu prosedürdeki işlemlerin yürütülmesinden bütün birimler sorumludur.