ÖZEL NİTELİKLİ KİŞİSEL VERİ İŞLEME VE KORUMA POLİTİKASI
v.0
İçindekiler
5. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİNE VE KORUNMASINA İLİŞKİN YÜKÜMLÜLÜKLER
5.1. Kişisel Veri İşleme İlkelerine Uygunluk
5.3. Özel Nitelikli Kişisel verilerin İşlenme Şartları (Veri İşlemenin Hukuki Sebepleri)
5.4. Özel Nitelikli Kişisel Verilerin Aktarımı
5.4.1. Özel Nitelikli Kişisel Verilerin Aktarım Şartları
5.5. Envanter’e ve VERBİS’e ilişkin Yükümlülükler
5.6. Veri Güvenliği’ne ilişkin Yükümlülükler
5.6.1. Çalışanlara Yönelik Önlemler
5.6.2. Özel Nitelikli Kişisel Veri İçerebilecek Belgeler
5.6.5. Özel Nitelikli Kişisel verilerin Aktarılmasında UyulacakTeknik ve İdari Tedbirler
5.6.5.1. Özel Nitelikli Kişisel verilerin Aktarılmasında Alınan Teknik Tedbirler
5.6.5.2. Özel Nitelikli Kişisel verilerin Aktarılmasında Alınan İdari Tedbirler
5.6.7. Özel Nitelikli Kişisel verilerin Saklanması
5.6.7.1. Özel Nitelikli Kişisel verilerin Saklanması için Alınan Teknik Tedbirler
5.6.7.2. Özel Nitelikli Kişisel verilerin Saklanması için Alınan İdari Tedbirler
5.6.8. Özel Nitelikli Kişisel verilerin Korunması Konusunda Alınan Tedbirlerin Denetimi
6. ÖZEL NİTELİKLİ KİŞİSEL VERİ İHLALİ HALİNDE ALINACAK TEDBİRLER
7. Hayri Darende Kuyumculuk’YA YAPILACAK İLGİLİ KİŞİ BAŞVURULARI
8. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN SAKLAMA SÜRESİ VE İMHASI
9. ÖZEL NİTELİKLİ KİŞİSEL VERİ KATEGORİLERİ
1. AMAÇ
İşbu Özel Nitelikli Kişisel Veri İşleme ve Koruma Politikası (“Politika”), Hayri Darende Kuyumculuk. (“Hayri Darende Kuyumculuk”)’nin Özel Nitelikli Kişisel Veri işleme faaliyetlerine yönelik Hayri Darende Kuyumculuk tarafından benimsenen ve uygulanan yöntemler ve kurallar konusunda açıklamalarda bulunmak amacı ile oluşturulmuştur.
2. KAPSAM
İşbu Politika, Hayri Darende Kuyumculuk’un Özel Nitelikli Kişisel Veri işlemekte olduğu tüm Özel Nitelikli Kişisel Veri işleme süreçlerini kapsamakta olup Hayri Darende Kuyumculuk ve Hayri Darende Kuyumculuk adına veri işleyenler tarafından yönetilen tüm Özel Nitelikli Kişisel Veri kayıt ortamları ile özel nitelikli kişisel veri işleme süreçlerinde bu Politika uygulanır.
3. GÖREV ve SORUMLULUK
İşbu Politika’nın hazırlanması ve güncel tutulması ile Hayri Darende Kuyumculuk’deki faaliyetlerin Politika’ya uygun gerçekleştirildiğinin denetlenmesi işlerinden KVK Ekibi sorumludur. KVK Ekibi ve diğer sorumluların görev ve sorumluluklarına ilişkin tablo aşağıda yer almaktadır.
Unvan |
Görev ve Sorumluluk |
KVK Ekibi |
Hayri Darende Kuyumculuk’deki kişisel veri işleme süreçlerinin Kanun’a, ikincil mevzuata, Kurul kararlarına ve rehberlerine uygun olarak işlenmesi, muhafaza edilmesi ve aktarılması, buna ilişkin belirlenen kriter ve kuralların çalışanlara ve Hayri Darende Kuyumculuk adına veri işleyenlere duyurulması, çalışanların eğitimi ve farkındalığının arttırılması, özel nitelikli kişisel veri işlenen, muhafaza edilen ve aktarılan tüm faaliyetlerde veri güvenliğini sağlamaya yönelik teknik ve idari tedbirlerin alınması işlerinden sorumludur. |
Ünite KVKK Temsilcisi |
Biriminde kişisel veri işleme süreçlerinin Politika’ya uygun olarak gerçekleştirilmesinden sorumludur. |
KVK Yöneticisi |
Kuruluşta kişisel veri işleme süreçlerinin Politika’ya uygun olarak gerçekleştirilmesinden sorumludur. |
Çalışanlar, |
Kişisel veri işlerken Politika’daki kural ve talimatlara uygun olarak işlemek konusunda üzerine düşen faaliyetleri yerine getirirler ve gerekli durumlarda Ünite KVKK Temsilcisine bilgi verirler. |
Veri İşleyenler ve ilgili diğer kişiler |
Veri İşleyenler ve ilgili diğer kişiler de kişisel veri işlerken Politika’daki kural ve talimatlara uygun olarak işlemek konusunda üzerine düşen faaliyetleri yerine getirirler. Gerekli durumlarda KVK Yöneticisi’ne bilgi verirler. |
4. TANIMLAR ve KISALTMALAR
Alıcı Grubu: |
: |
Hayri Darende Kuyumculuk’nin kişisel verileri aktarıldığı gerçek veya tüzel kişileri |
Açık Rıza |
: |
Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızasını |
Anonim Hale Getirme |
: |
Kişisel verinin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesini |
Çalışan |
: |
Hayri Darende Kuyumculuk çalışanlarını |
Envanter |
: |
Hayri Darende Kuyumculuk’nin iş süreçlerine bağlı olarak gerçekleştirmekte olduğu kişisel veri işleme faaliyetlerini; Kişisel verileri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturduğu ve Kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen Kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdığı envanter. |
İlgili Kişi |
: |
Kişisel verisi işlenen gerçek kişi. |
İlgili Kullanıcı |
: |
Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda Kişisel verileri işleyen kişiler. |
İrtibat Kişisi |
: |
Hayri Darende Kuyumculuk’nin Kanun ve ilgili mevzuattan doğan yükümlülüklerine ilişkin olarak Kurum ile iletişimi sağlamak amacıyla VERBİS’e kayıt esnasında bildirilen gerçek kişi |
İmha |
: |
Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi. |
Kanun |
: |
6698 sayılı Kişisel Verilerin Korunması Kanunu |
Kayıt Ortamı |
: |
Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen Kişisel verilerin bulunduğu her türlü ortam. |
İşleme |
: |
Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi |
Kurum |
: |
Kişisel Verileri Koruma Kurumu |
Kurul |
: |
Kişisel verileri Koruma Kurulu |
Özel Nitelikli Kişisel Veri |
: |
Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri. |
Periyodik İmha |
: |
Kanunda yer alan Kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda Kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi. |
Politika |
: |
Özel Nitelikli Kişisel Veri İşleme ve Koruma Politikası |
Silme |
: |
Kişisel verilerin silinmesi, Kişisel verilerin İlgili Kullanıcı’lar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesini |
Veri İşleyen |
: |
Hayri Darende Kuyumculuk’nin verdiği yetkiye dayanarak Hayri Darende Kuyumculuk adına Kişisel verileri işleyen gerçek veya tüzel kişi. |
Veri Kayıt Sistemi |
: |
Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi. |
Veri Sorumlusu |
: |
Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi |
VERBİS |
: |
Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen sistem, Veri Sorumluları Sicil Bilgi Sistemini |
Yok etme/Yok edilme |
: |
Kişisel verilerin yok edilmesi, Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi |
5. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİNE VE KORUNMASINA İLİŞKİN YÜKÜMLÜLÜKLER
Hayri Darende Kuyumculuk veya Veri İşleyenleri tarafından Özel Nitelikli Kişisel Verilerin işlenmesinde aşağıdaki kurallar uygulanır.
5.1. Kişisel Veri İşleme İlkelerine Uygunluk
Özel Nitelikli Kişisel Verilerin işlenmesinde aşağıdaki ilkelere uygun hareket edilir:
- Özel Nitelikli Kişisel Verilerin işlenmesinde hukuka ve dürüstlük kurallarına uygun hareket edilir.
- İşlenen Özel Nitelikli Kişisel Verilerin doğru ve güncel olmasını sağlamak için Özel Nitelikli Kişisel Verilerin işleme süreçlerinde gerekli tedbirler alınır. Özel Nitelikli Kişisel Verileri işlenen İlgili Kişi’ye verilerini güncellemesi ve varsa işlenen verilerindeki hataları düzeltmesi için başvuruda bulunma imkânı tanınır.
- Özel Nitelikli Kişisel Veriler belirli, açık ve meşru amaçlarla, kapsamı ve içeriği açıkça belirlenmiş, mevzuat ve iş süreçlerinin devamlılığını sağlamak için belirlenen meşru amaçlar dâhilinde işlenir.
- Özel Nitelikli Kişisel Veriler belirlenen amaçlarla bağlantılı, sınırlı ve ölçülü olarak işlenir. Bu kapsamda veri minimizasyonu ilkesi uyarınca Hayri Darende Kuyumculuk, Özel Nitelikli Kişisel Veri işlerken işleme amacı ile ilgili olmayan ve işleme süreci için işlenmesi gerekli/zorunlu olmayan hiçbir Özel Nitelikli Kişisel Veriyi işlemez.
- Özel Nitelikli Kişisel Veriler ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilir. Bu süreler sona erdiğinde Özel Nitelikli Kişisel Verilerin işlenmesine Kanun’da öngörülen yöntemler uyarınca son verilir.
- Kişisel verilerin imhasına ilişkin hususlar Hayri Darende Kuyumculuk Kişisel Verileri Saklama ve İmha Politikası’nda belirlenir.
5.2. Aydınlatma Yükümlülüğü
Kanun’un 10. maddesinde yer alan aydınlatma yükümlülüğü uyarınca Hayri Darende Kuyumculuk veya Veri İşleyenleri, Özel Nitelikli Kişisel Veri işlemeden önce veya en geç işlenmesi sırasında aşağıdaki hususlarda İlgili Kişi’leri aydınlatır.
- Veri sorumlusu olarak Hayri Darende Kuyumculuk’un kimliği
- Kişisel verilerin hangi amaçla işleneceği,
- İşlenen Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
- Verileri toplama yöntemi ve hukuki sebebini,
- İlgili Kişi’lerin Kanun’un 11.maddesinde yer alan hakları
Aydınlatmanın yapılmasında bir şekil şartı olmamakla birlikte, aydınlatma yükümlülüğünün yerine getirildiğini ispat yükümlülüğü Veri Sorumlusu olarak Hayri Darende Kuyumculuk’de olduğundan, Özel Nitelikli Kişisel Veri işleme süreci kurgulanırken aydınlatma yükümlülüğünün yerine getirildiğini ispatlayıcı önlemler alınır.
Bu önlemler aydınlatmanın yapılma yöntemine göre değişiklik gösterebilir. (Örn. Basılı evrak ile aydınlatma yapıldığı durumlarda İlgili Kişiler’den aydınlatma metninin sonunda imzası alınabilir, sesli ortamda aydınlatma yapılması halinde ilgili ses kaydı saklanabilir veya dijital ortamlarda aydınlatma yapıldığı durumlarda aydınlatma yapıldığını kanıtlar dijital log kayıtları saklanabilir.)
Özel Nitelikli Kişisel Verilerin işlenme amaçlarının değişmesi durumunda İlgili Kişiler’e yeni kişisel veri işleme amacına ilişkin aydınlatma yapılır.
Ayrıca, Özel Nitelikli Kişisel Verilerin doğrudan ilgili kişilerden elde edilmediği durumlarda (örn. üçüncü kişi bir veri sorumlusundan Özel Nitelikli Kişisel Veri alınması) da Hayri Darende Kuyumculuk tarafından aydınlatma yükümlülüğü;
- Özel Nitelikli Kişisel Verilerin elde edilmesinden itibaren makul bir süre içerisinde,
- Özel Nitelikli Kişisel Verilerin ilgili kişi ile iletişim amacıyla kullanılacak olması durumunda, ilk iletişim kurulması esnasında,
- Özel Nitelikli Kişisel Verilerin aktarılacak olması halinde, en geç Özel Nitelikli Kişisel Verilerin ilk kez aktarımının yapılacağı esnada
yerine getirilir.
Kanun m.2 8 uyarınca ise, İlgili Kişi’nin kendisi tarafından alenileştirilmiş Özel Nitelikli Kişisel Verilerlerin işlenmesine ilişkin olarak veri sorumlusu olarak Hayri Darende Kuyumculuk’nin aydınlatma yükümlülüğü olmadığından aydınlatma yapılmaz. Ancak İlgili Kişi’nin Kişisel verilerini alenileştirme amacı ile kişisel veri işleme amacı uyumlu olmalıdır. Bu nedenle aydınlatma yapılmasına ilişkin istisnaya tabi olunup olunmadığı hususunda tereddüt yaşanması halinde kişisel veri işleme sürecine başlamadan önce KVK Ekibi’ne veya danışmanlara danışılır.
5.3. Özel Nitelikli Kişisel verilerin İşlenme Şartları (Veri İşlemenin Hukuki Sebepleri)
Özel Nitelikli Kişisel Veriler, kural olarak kişinin “açık rıza” sının varlığı halinde işlenebilir. Bununla birlikte sağlık ve cinsel hayat dışındaki Özel Nitelikli Kişisel Veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak;
- kamu sağlığının korunması,
- koruyucu hekimlik,
- tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi,
- sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla,
sır saklama yükümlülüğü altında bulunan yetkili kişiler tarafından ilgilinin açık rızası aranmaksızın işlenebilecektir.
Yukarıda işleme şartlarından herhangi birinin mevcut olmaması halinde Özel Nitelikli Kişisel Veriler işlenemez, bu işleme şartlarından biri başta mevcut olmasına rağmen sonradan ortadan kalkarsa ilgili Özel Nitelikli Kişisel Veri işleme sürecine son verilir.
Özel Nitelikli Kişisel Veri işleme sürecinin hukuki sebebinin tespitinde tereddüt yaşanması halinde KVK Ekibi’ne veya danışmanlara danışılır.
5.4. Özel Nitelikli Kişisel Verilerin Aktarımı
Özel Nitelikli Kişisel Verilerin aktarımı, Hayri Darende Kuyumculuk veya Veri İşleyenleri tarafından işlenenkişisel verilerin Hayri Darende Kuyumculuk dışındaki yurt içindeki veya yurt dışındaki gerçek veya tüzel kişilere aktarımıdır.
Hayri Darende Kuyumculuk’nin bağlı olduğu şirketlere ve grup şirketlerine Özel Nitelikli Kişisel Veri aktarımının da Kişisel Veri aktarımı sayıldığı ve Özel Nitelikli Kişisel Verilerin aktarımına ilişkin kurallara tabi olduğu göz önünde bulundurulur. Hayri Darende Kuyumculuk içindeki daireler arası Özel Nitelikli Kişisel Veri aktarımı veya paylaşımı ise Kişisel verilerin aktarımı sayılmadığından Özel Nitelikli Kişisel Verilerin aktarılmasına ilişkin kurallara tabi değildir.
5.4.1. Özel Nitelikli Kişisel Verilerin Aktarım Şartları
Özel Nitelikli Kişisel Veriler, kural olarak kişinin “açık rıza” sının varlığı halinde aktarılabilir. Bununla birlikte sağlık ve cinsel hayat dışındaki Özel Nitelikli Kişisel Veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın aktarılabilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak;
- kamu sağlığının korunması,
- koruyucu hekimlik,
- tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi,
- sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla,
sır saklama yükümlülüğü altında bulunan yetkili kişiler tarafından ilgilinin açık rızası aranmaksızın aktarılabilecektir.
Özel Nitelikli Kişisel Verilerin yurt dışındaki üçüncü kişilere aktarımı ise ayrıca düzenlenmiştir.
Buna göre Özel Nitelikli Kişisel Veriler ;
- İlgili Kişi’nin yurt dışına Özel Nitelikli Kişisel Veri aktarımına ilişkin açık rıza vermesi veya
- Özel Nitelikli Kişisel verilerin açık rıza dışındaki diğer üçüncü kişilere aktarım şartlarından birinin varlığı ve Kişisel verinin aktarılacağı yabancı ülkede;
- Yeterli korumanın bulunması,
- Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurul’un izninin bulunması halinde
ilgili kişinin açık rızası aranmaksızın
yurt dışına aktarılabilir. Yeterli korumaya sahip ülkelere yapılacak aktarımlar için bu ülkenin Kurul tarafından ilan edilen (eğer ilan edilmişse) “yeterli korumaya sahip ülkeler” arasında yer alıp almadığı kontrol edilir.
5.5. Envanter’e ve VERBİS’e ilişkin Yükümlülükler
Hayri Darende Kuyumculuk’nin Özel Nitelikli Kişisel Veri işleme süreçlerine ilişkin bilgilere Envanter’de yer verir. Envanter güncel tutulur. Hayri Darende Kuyumculuk’nin mevcut Özel Nitelikli Kişisel Veri işleme süreçlerinde bir değişiklik olması halinde Envanter’de ilgili kişisel veri işleme süreci uygun şekilde güncellenir. Hayri Darende Kuyumculuk’de yeni bir Özel Nitelikli Kişisel Veri işleme sürecine başlanacak olması halinde ise ilgili Özel Nitelikli Kişisel Veri işleme süreci Envanter’e uygun şekilde işlenir. Bu değişiklik, Grup Daire Başkanlığı Envanter Sorumlusu, Veri İşleyen veya Çalışanlar’ın bildirimi üzerine Hayri Darende Kuyumculuk KVK Yöneticisi tarafından yapılır. Hayri Darende Kuyumculuk KVK Yönetici, bu değişikliğe ilişkin olarak ihtiyaç duyması halinde KVK Ekibi’ne veya danışmanlara danışabilir.
Envanter’de yapılacak olası bir değişikliğin Hayri Darende Kuyumculuk’nin VERBİS’e beyan etmiş olduğu kişisel veri işleme süreçlerine ilişkin bilgilerde değişiklik yapılmasını gerektirip gerektirmediği ilgili kişisel veri işleme sürecini yürüten Envanter Sorumlusu tarafından kontrol edilir. VERBİS’e beyan edilen bilgilerde güncelleme yapılması gerektiği sonucuna varılması halinde değişiklik, değişikliğin meydana geldiği tarihten itibaren yedi gün içerisinde KVK Yöneticisi tarafından İrtibat Kişisi aracılığıyla VERBİS’e işlenir. KVK Yöneticisi, bu değişikliğe ilişkin olarak ihtiyaç duyması halinde KVK Kurulu’na veya danışmanlara danışabilir.
Hayri Darende Kuyumculuk kişisel veri işleme süreçlerine ilişkin bilgilere Envanter’de yer verir. Envanter güncel tutulur. Hayri Darende Kuyumculuk’nin mevcut kişisel veri işleme süreçlerinde bir değişiklik olması halinde Envanter’de ilgili kişisel veri işleme süreci uygun şekilde güncellenir.
Hayri Darende Kuyumculuk’de yeni bir kişisel veri işleme sürecine başlanacak olması halinde; Ünite KVKK Temsilcisi tarafından veri işleme talebi KVKK Ekibine bildirilir. KVKK Ekibi gerekli değerlendirmeyi gerçekleştirdikten sonra, durumu KVKK Yöneticisi’ne bildirir. KVKK Yöneticisi değişiklik talebini ve KVKK Ekibinin değerlendirmesini inceleyerek gerekli görürse hukuk görüşünü de alarak duruma göre veri işleme talebinin VERBİS’e işlenmesi için, İrtibat Kişisi’ne bildirir. Bu durumda veri işlenmesine başlanmasından itibaren 7 gün içerisinde İrtibat Kişisi tarafından VERBİS’e işlenir.
Envanter’de yapılacak değişikliğin Hayri Darende Kuyumculuk’nin VERBİS’e beyan etmiş olduğu kişisel veri işleme süreçlerine ilişkin bilgilerde değişiklik yapılmasını gerektirip gerektirmediği ilgili kişisel veri işleme sürecini yürüten Ünite KVKK Temsilcisi tarafından kontrol edilir. VERBİS’e beyan edilen bilgilerde güncelleme yapılması gerektiği sonucuna varılması halinde değişiklik, değişikliğin meydana geldiği tarihten itibaren yedi gün içerisinde KVK Yöneticisi tarafından İrtibat Kişisi aracılığıyla VERBİS’e işlenir. KVK Yöneticisi, bu değişikliğe ilişkin olarak ihtiyaç duyması halinde KVK Kurulu’na veya hukuk görüşü alabilir.
5.6. Veri Güvenliği’ne ilişkin Yükümlülükler
Hayri Darende Kuyumculuk, Özel Nitelikli Kişisel Verileri işlerken:
- Özel Nitelikli Kişisel Verilerin hukuka aykırı olarak işlenmesini önlemek,
- Özel Nitelikli Kişisel Veriler e hukuka aykırı olarak erişilmesini önlemek ve
- Özel Nitelikli Kişisel Verilerin muhafazasını sağlamak
amacıyla uygun güvenlik düzeyini temin etmeye yönelik her türlü teknik ve idari tedbirleri alır.
5.6.1. Çalışanlara Yönelik Önlemler
Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara düzenli olarak eğitimler verilir,
gizlilik sözleşmeleri yapılır,
verilere erişim yetkisine sahip kullanıcıların yetki kapsamları ve süreleri net olarak tanımlanır,
periyodik olarak yetki kontrolleri gerçekleştirilir,
görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerinin derhal kaldırılması ve bu kapsamda veri sorumlusu tarafından kendisine tahsis edilen envanterin iade alınması,
teknolojik güvenlik ürünlerinin kullanılması ve etkinliğinin test edilmesi yönünde gerekli önlemler alınmaktadır.
5.6.2. Özel Nitelikli Kişisel Veri İçerebilecek Belgeler
Özel Nitelikli Kişisel Veri İşleme süreçleri mümkün olduğunca en aza indirilir. Bir kişisel veri işleme sürecinde kimlik fotokopisi kullanılması gerekiyorsa, bu süreçte eski kimlik fotokopilerinin arka yüz fotokopisi alınmaz, eğer kimlik fotokopisinin arka yüzü alınmışsa burada bulunan kan grubu bilgisi ve din bilgisine ilişkin kısımlar karartılır. Bir kişisel veri işleme sürecinde eski tip ehliyet fotokipisi kullanılacaksa bu belgenin kan grubu bilgisi içeren sureti alınmaz, alınmışsa kan grubu bilgisine ilişkin kısım karartılır.
5.6.3. Özel Nitelikli Kişisel verilerin Hukuka Uygun İşlenmesini Sağlamak için Alınan Teknik Tedbirler
Hayri Darende Kuyumculuk bünyesinde gerçekleştirilen Özel Nitelikli Kişisel Veri işleme faaliyetleri kurulan teknik sistemlerle denetlenmektedir.
Alınan teknik ve idari tedbirlerin uygulandığı periyodik iç tetkiklerle kontrol edilir ve raporlanır.
Teknik konularda alanında eğitim görmüş ya da yetişmiş personel istihdam edilmektedir.
5.6.4. Özel Nitelikli Kişisel verilerin Hukuka Uygun İşlenmesini Sağlamak için Alınan İdari Tedbirler
Hayri Darende Kuyumculuk tarafından Özel Nitelikli Kişisel Veriler’in hukuka uygun işlenmesini sağlamak için alınan başlıca idari tedbirler aşağıda sıralanmaktadır:
- Çalışanlar için Kişisel Verilerin Korunması Kanunu ve Bilgi Güvenliği kapsamında farkındalık çalışmaları ve farkındalık eğitimleri düzenlenmektedir.
- Hayri Darende Kuyumculuk ile çalışanlar ve 3. kişiler arasındaki hukuki ilişkiyi yöneten sözleşme ve belgelere, Özel Kişisel Veri’leri işlememe, ifşa etmeme ve kullanmama yükümlülüğü getiren kayıtlar konulmakta ve denetimler yürütülerek Kanun’dan doğan yükümlülükler yerine getirilmektedir.
5.6.5. Özel Nitelikli Kişisel verilerin Aktarılmasında UyulacakTeknik ve İdari Tedbirler
Hayri Darende Kuyumculuk, Kişisel verilerin aktarılmasına ilişkin gerekli teknik ve idari tedbirleri alır.
5.6.5.1. Özel Nitelikli Kişisel verilerin Aktarılmasında Alınan Teknik Tedbirler
Verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılır.
Taşınabilir bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenir.
Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak işlem gerçekleştirilir.
Verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınması ve evrakın “gizlilik dereceli belgeler” formatında gönderilmektedir.
5.6.5.2. Özel Nitelikli Kişisel verilerin Aktarılmasında Alınan İdari Tedbirler
Kişisel verilerin aktarılacağı Alıcı Taraf ile kişisel veri işleme sözleşmesi imzalanır.
5.6.6. Özel Nitelikli Kişisel verilerin Hukuka Aykırı Erişimini Engellemek için Alınan Teknik ve İdari Tedbirler
Hayri Darende Kuyumculuk, Özel Nitelikli Kişisel Verilere yetkisiz erişim sağlanması, paylaşılması veya başka şekillerdeki tüm hukuka aykırı erişimi önlemek için uygulama gerekliliği ve maliyetine göre teknik ve idari tedbirleri alır.
5.6.6.1. Özel Nitelikli Kişisel verilerin Hukuka Aykırı Erişimini Engellemek için Alınan Teknik Tedbirler
Hayri Darende Kuyumculuk tarafından Özel Nitelikli Kişisel Veriler’in hukuka aykırı erişimini engellemek için alınan başlıca teknik tedbirler aşağıda sıralanmaktadır:
- Erişim yetkileri sınırlandırılmıştır ve yetkiler periyodik olarak gözden geçirilmektedir.
- Alınan teknik önlemler periyodik olarak iç denetim tetkiklerle kontrol edilerek ilgilisine raporlanmakta, risk teşkil eden hususlar yeniden değerlendirilerek düzeltici faaliyet çerçevesinde gerekli çözüm üretilmektedir.
- Hayri Darende Kuyumculuk ile ilişkisi sona eren personellerin erişim yetkileri kapatılarak Kişisel Verilere erişim yetkileri ortadan kaldırılır.
5.6.6.2. Özel Nitelikli Kişisel verilerin Hukuka Aykırı Erişimini Engellemek için Alınan İdari Tedbirler
Hayri Darende Kuyumculuk tarafından Özel Nitelikli Kişisel Veriler’in hukuka aykırı erişimini engellemek için alınan başlıca idari tedbirler aşağıda sıralanmaktadır:
- Çalışanlar için Kanun ve Bilgi Güvenliği kapsamında farkındalık çalışmaları ve farkındalık eğitimleri düzenlenmektedir.
- İş birimi ve süreç bazında yetki matrisleri hazırlanmış ve yetkilendirmeler yetki matrisine göre yapılmışır. Verilen yetkiler düzenli olarak kontrol edilerek yatki matrisinin güncel tutulması konusunda gerekli hassesiyet göterilmektedir.
- Çalışanlar, öğrendikleri Kişisel Verileri Kanun hükümlerine aykırı olarak başkasına açıklayamayacağı ve işleme amacı dışında kullanamayacağı ve bu yükümlülüğün görevden ayrılmalarından sonra da devam edeceği konusunda bilgilendirilmekte ve bu doğrultuda kendilerinden gerekli taahhütler alınmaktadır.
- Hayri Darende Kuyumculuk tarafından Özel Nitelikli Kişisel Veriler’in hukuka uygun olarak aktarıldığı kişiler ile akdedilen sözleşmelere Kanun’a uyumluluk için gerekli tedbirlerin alındığına ve gerektiğinde Hayri Darende Kuyumculuk’nin belirlediği politikaların uygulandığına dair denetim uygulanacağı eklenmektedir.
5.6.7. Özel Nitelikli Kişisel verilerin Saklanması
Hayri Darende Kuyumculuk, Özel Nitelikli Kişisel Veriler’in güvenli ortamlarda saklanması ve veri bütünlüğünün bozulmaması, yetkisiz erişimlerin engellenmesi, hukuka aykırı amaçlarla yok edilmesini ve kaybolmasını önlemek için uygulama gerekliliği ve maliyetine göre teknik ve idari tedbirler almaktadır.
5.6.7.1. Özel Nitelikli Kişisel verilerin Saklanması için Alınan Teknik Tedbirler
Hayri Darende Kuyumculuk tarafından Özel Nitelikli Kişisel Veriler’in güvenli ortamlarda saklanması için alınan başlıca teknik tedbirler aşağıda sıralanmaktadır:
- Özel Nitelikli Kişisel Veriler’in güvenli ortamlarda saklanması için teknolojik gelişmelere uygun sistemler kullanılmaktadır.
- Özel Nitelikli Kişisel Verinin saklandığı alanlara göre fiziksel ya da yazılımsal güvenlik sistemleri kurulmakta, bilişim altyapısı üzerindeki güvenlik zafiyetlerinin tespitine yönelik güvenlik testleri yapılmakta, yapılan test sonucunda tespit edilen mevcut ya da muhtemel risk teşkil eden hususlar düzeltici faaliyet kapsamında giderilmektedir. Alınan teknik ve idari tedbirlerin uygulandığı periyodik iç tetkiklerle kontrol edilir ve raporlanır.
- Özel Nitelikli Kişisel Veriler’in tutulduğu ortamlara yetki matrisine göre yetki verilerek ve veriye erişim kısıtlanarak yalnızca yetkili kişilerin bu verilere erişmesine izin verilmekte, Kişisel Veriler’in bulunduğu veri depolama alanlarına erişimler loglanarak uygunsuz erişimler veya erişim denemeleri ilgililere anlık olarak iletilmektedir.
- Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise verilerin bulunduğu ortamda kriptografik yöntemler kullanılarak muhafaza edilmesi, veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarının güvenli olarak loglanması, verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmelerinin yapılması, verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sisteminin sağlanması yönünde gerekli önlemler alınır.
- Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise özel nitelikli kişisel verilerin bulunduğu ortamın yetkisiz erişime karşı korunmalı (kilitli ortam, kartlı geçiş sistemi) ve doğal afetlere karşı önlemlerin (yangın ve ısı sensörü) alındığını teyit edilmektedir.
5.6.7.2. Özel Nitelikli Kişisel verilerin Saklanması için Alınan İdari Tedbirler
Hayri Darende Kuyumculuk tarafından Özel Nitelikli Kişisel Veriler’in güvenli ortamlarda saklanması için alınan başlıca idari tedbirler aşağıda sıralanmaktadır:
- Çalışanlar için Kişisel Verilerin Korunması Kanunu ve Bilgi Güvenliği kapsamında farkındalık çalışmaları ve farkındalık eğitimleri düzenlenmektedir.
- Hayri Darende Kuyumculuk tarafından Özel Nitelikli Kişisel Veriler’in hukuka uygun olarak aktarıldığı kişiler ile akdedilen sözleşmelere Kişisel Verilerin Koruma Kanunu’na uyumluluk için gerekli tedbirlerin alındığına ve Hayri Darende Kuyumculuk’nin belirlediği politikaların uygulandığına dair denetim yapılacağı eklenmektedir.
5.6.8. Özel Nitelikli Kişisel verilerin Korunması Konusunda Alınan Tedbirlerin Denetimi
Hayri Darende Kuyumculuk, Kanun’un 12. maddesine uygun olarak, periyodik iç tetkikler gerçekleştirmekte ve raporlamaktadır. İç tetkik ile tespit edilen uygunsuzluklar ve riskler düzeltici faaliyet kapsamında değerlendirilerek önleyici faaliyetler uygulanmaktadır.
6. ÖZEL NİTELİKLİ KİŞİSEL VERİ İHLALİ HALİNDE ALINACAK TEDBİRLER
7. Hayri Darende Kuyumculuk’YA YAPILACAK İLGİLİ KİŞİ BAŞVURULARI
İlgili Kişiler, Hayri Darende Kuyumculuk’ye başvurarak Kanun’un 11. maddesinde sayılan aşağıdaki haklarını ileri sürebilir:
a) Kişisel veri işlenip işlenmediğini öğrenme,
b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
ç) Yurt içinde veya yurt dışında Kişisel verilerin aktarıldığı üçüncü kişileri bilme,
d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
e) Kişisel verilerin silinmesini veya yok edilmesini isteme,
f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, Kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme,
8. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN SAKLAMA SÜRESİ VE İMHASI
Hayri Darende Kuyumculuk, Özel Nitelikli Kişisel Veriler’i süresiz olarak değil, ancak Özel Nitelikli Kişisel Veriler ile ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza eder. Hayri Darende Kuyumculuk’nin her bir kişisel veri işleme süreçleri ile ilgili olarak:
- Süreçlere bağlı olarak gerçekleştirilen faaliyetler kapsamındaki tüm Özel Nitelikli Kişisel Veriler le ilgili kişisel veri bazında saklama süreleri Hayri Darende Kuyumculuk Envanter’inde,
- Veri kategorileri bazında saklama süreleri VERBİS’e girilen kayıtlarda,
- Süreç bazında saklama süreleri ise Hayri Darende Kuyumculuk Kişisel Veri Saklama ve İmha Politikasında
yer alır.
Hayri Darende Kuyumculuk, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde Özel Nitelikli Kişisel Verileri resen veya İlgili Kişi’nin talebi üzerine siler, yok eder veya anonim hale getirir. Özel Nitelikli Kişisel Veriler imha edilirken Hayri Darende Kuyumculuk Kişisel Verileri Saklama ve İmha Politikası’nda yer alan kural ve talimatlara uygun hareket edilir.
9. ÖZEL NİTELİKLİ KİŞİSEL VERİ KATEGORİLERİ
Özel Nitelikli Kişisel Veri Kategorisi |
Açıklama |
Sağlık Bilgileri |
Bu veri kategorisi Engellilik durumuna ait bilgiler, Kan grubu bilgisi, Kişisel sağlık bilgileri, Kullanılan cihaz ve protez bilgileri gibi veri türlerini ifade etmektedir. |
Ceza Mahkûmiyeti ve Güvenlik Tedbirleri |
Bu veri kategorisi Ceza mahkûmiyetine ilişkin bilgiler, Güvenlik tedbirlerine ilişkin bilgilergibi veri türlerini ifade etmektedir. |
10. GÜNCELLENME PERİYODU
Hayri Darende Kuyumculuk, Kanunda yapılan değişiklikler nedeniyle, Kurum kararları uyarınca ya da sektördeki ya da bilişim alanındaki gelişmeler doğrultusunda veya herhangi bir nedenle ihtiyaç duyması halinde işbu Politika’yı değiştirebilir, güncelleyebilir.
İşbu Politika’da yapılan değişiklikler derhal metne işlenir, değişikliklere ilişkin açıklamalar aşağıdaki tabloya işlenir ve Politika’nın güncel versiyonu KVK Ekibi’nin belirlediği yetkili tarafından Hayri Darende Kuyumculuk bünyesinde kişisel verilerin tutulduğu, işlendiği veya aktarıldığı sistemleri kullanan / yöneten birimler, çalışanlar ve ilgili diğer kişilere duyurulur.
No |
Tarih |
Açıklama ve Yapılan Değişiklikler |
v.1 |
__/__/2024 |
Özel Nitelikli Kişisel Veri İşleme ve Koruma Politikası yayımlandı. |
v.2 |
|
|