KVKK Kişisel Veri İşleme Politikası · Amaç, Kapsam, Haklar ve Uygulama Esasları

KVKK · Kişisel Veri İşleme Politikası

KVKK Kişisel Veri İşleme Politikası Amaç, Kapsam ve Uygulama Esasları

Bu KVKK politikası, şirket bünyesinde bulunan tüm kişisel verilerin hukuka, dürüstlük kurallarına ve bilgi güvenliği prensiplerine uygun olarak işlenmesini, muhafaza edilmesini ve şeffaf biçimde yönetilmesini amaçlar. Veri sahiplerinin; verilerinin neden, nasıl ve hangi hukuki sebeple işlendiğini anlayabilmesi için aydınlatma, başvuru ve haklarının kullanımı süreçlerini tanımlar.

Politika; çalışanlar, çalışan adayları, ziyaretçiler, hizmet sağlayıcılar ve diğer tüm üçüncü kişilere ait kişisel verilerin işlenmesinde KVKK ve ilgili ikincil mevzuata uyumu kurumsal bir disiplin hâline getirmeyi hedefler.

Veri Sahibinin Haklarını İncele Kişisel Veri İşleme Esasları

Özet

Başlık: KVKK Kişisel Veri İşleme Politikası
Kapsam: Kişisel verilerin korunması, veri sahibinin hakları, özel nitelikli kişisel veriler, işleme ve aktarım şartları, veri kayıt ortamları.
Hedef: Veri sorumlusunun KVKK uyum sürecini yazılı bir politika ve uygulanabilir adımlar ile yönetmesine yardımcı olmak.

KVKK Politikası Kişisel Veri İşleme Veri Sahibinin Hakları Özel Nitelikli Veri

İçindekiler 1. Giriş 1.1 Politikanın Amacı ve Kapsamı 2. Kişisel Verilerin Korunması ve Uygulama Esasları 2.1 Veri Sahibinin Hakları ve Taleplerin Yönetimi 2.2 Özel Nitelikli Kişisel Verilerin Korunması 2.3 Kişisel Veri Sahibinin Aydınlatılması 3. Kişisel Verilerin İşlenmesi 3.1 Özel Nitelikli Verilerin İşlenme Şartları 3.2 Kişisel Verilerin Aktarılması 4. Kişisel Verilerin Kayıt Ortamları

Category: Blog KVKK · Etiketler: Kişisel Verileri Koruma Kanunu, KVKK Politikası, Kişisel Veri İşleme, KVKK Danışmanlığı

1. Giriş: Politikanın Amacı ve Kapsamı

1.1 Politikanın Amacı

KVKK kişisel veri işleme politikasının amacı, şirket bünyesinde tutulan tüm kişisel verilerin güvenliğini sağlamak, işleme faaliyetlerini şeffaf ve izlenebilir kılmak ve ilgili kişilerin, verilerinin neden ve hangi hukuki sebeple işlendiği konusunda bilgilendirilmesini temin etmektir.

Bu kapsamda politika;

Kişisel verilerin hukuka uygun, adil ve şeffaf şekilde işlenmesini,
Verilerin yetkisiz erişime, yasa dışı işlenmeye ve kayba karşı idari ve teknik tedbirlerle korunmasını,
Veri sahiplerinin başvurularının ilgili mevzuata uygun şekilde yönetilmesini,
Kurum içinde KVKK uyumunun bir kurum kültürü hâline getirilmesini

1.2 Politika Kapsamı

KVKK politikası, kurumun işlediği tüm kişisel veri kategorilerini ve bu verilerin ait olduğu kişi gruplarını kapsar. Bunlar başlıca:

Kurum çalışanları ve çalışan adayları,
Hizmet sağlayıcılar, tedarikçiler ve iş ortakları,
Ziyaretçiler ve kurum yerleşkesine fiziksel giriş yapan diğer kişiler,
Müşteriler, potansiyel müşteriler ve diğer üçüncü kişiler

Bu kişi gruplarına ait tüm kişisel veriler, elektronik veya fiziksel ortamda işlensin, KVKK politikası kapsamındadır.

2. Kişisel Verilerin Korunması ve Uygulama Esasları

Anayasa ve 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 12. maddesi uyarınca, kişisel verilerin hukuka aykırı olarak işlenmesini ve bu verilere hukuka aykırı erişimi önlemek, ayrıca verilerin güvenli şekilde muhafazasını sağlamak için uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü idari ve teknik tedbirin alınması zorunludur.

Bu kapsamda kurum;

Bilgi güvenliği politikaları ve prosedürleri oluşturur,
Personel için düzenli KVKK ve bilgi güvenliği farkındalık eğitimleri yürütür,
Yetkisiz erişimi engellemek için erişim kontrol mekanizmaları uygular,
Veri ihlali risklerini azaltmak için yama yönetimi, zafiyet taraması ve sızma testleri gerçekleştirir,
Veri saklama ve imhaya ilişkin saklama-imha politikası işletir.

Not: Kişisel verilerin güvenliğine ilişkin yükümlülükler yalnızca BT departmanını değil; kişisel veri işleyen tüm departmanları (İK, satış, finans, pazarlama vb.) kapsamaktadır.

2.1 Veri Sahibinin Haklarının Gözetilmesi ve Taleplerin Değerlendirilmesi

KVKK’nın 13. maddesi uyarınca ilgili kişiler, kişisel verilerine ilişkin taleplerini veri sorumlusuna başvurarak iletebilir. Veri sorumlusu, talebin niteliğine göre başvuruyu en geç otuz gün içinde ücretsiz olarak sonuçlandırır. İşlemin ayrıca bir maliyet gerektirmesi hâlinde Kurul tarafından belirlenen tarifedeki ücret talep edilebilir.

Veri sorumlusu talebi inceleyerek duruma göre;

Talebi kabul eder ve ilgili işlemleri gerçekleştirir veya
Gerekçesini açıklayarak talebi reddeder ve sonucu yazılı veya elektronik ortamda ilgili kişiye bildirir.

Veri Sahiplerinin KVKK Kapsamındaki Hakları

KVKK kapsamında kişisel veri sahipleri aşağıdaki haklara sahiptir:

Kişisel verilerinin işlenip işlenmediğini öğrenme,
Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini talep etme,
KVKK ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin üçüncü kişilere bildirilmesini talep etme,
İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin aleyhine bir sonucun ortaya çıkmasına itiraz etme,
Kişisel verilerin hukuka aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.

2.2 Özel Nitelikli Kişisel Verilerin Korunması

Bazı kişisel verilerin işlenmesi, ilgili kişinin mağduriyetine veya ayrımcılığa uğramasına yol açabilecek niteliktedir. Bu nedenle KVKK, bu veriler için özel koruma rejimi öngörmekte ve veri sorumlularına ilave yükümlülükler getirmektedir.

Özel nitelikli kişisel verilerin işlenmesinde kurum;

Hukuka uygunluk sebeplerini açıkça belirler,
İlgili süreçlerde görevli personele özel eğitimler verir,
Bu veriler için farklı ve daha yüksek güvenlik seviyesinde teknik/organizasyonel tedbirler uygular,
İşleme, saklama ve imha süreçlerini ayrıca dokümante eder.

Önemli: Özel nitelikli kişisel veriler, ancak kanunda öngörülen istisnalar ve sıkı güvenlik tedbirleri altında işlenebilir. Kurumlar bu alanda daha hassas davranmakla yükümlüdür.

2.3 Kişisel Veri Sahibinin Aydınlatılması

KVKK uyarınca kişisel veriler işlenmeden önce ilgili kişilerin, aydınlatma yükümlülüğü çerçevesinde bilgilendirilmesi zorunludur. Aydınlatma; veri sorumlusunun veya yetkili temsilcisinin kimliği, verilerin hangi amaçla işleneceği, kimlere ve hangi amaçla aktarılabileceği, veri toplama yöntemi ve hukuki sebebi ile ilgili bilgilendirme ile ilgili kişinin haklarını kapsar.

Bu kapsamda kurum, kişisel veri işleme faaliyetinden önce ilgili kişiyi aşağıdaki konularda aydınlatır:

Kişisel verileri toplayan veri sorumlusunun kimliği,
Verilerin hangi amaçlarla işleneceği,
İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
Veri toplamanın yöntemi ve hukuki sebebi,
KVKK’nın 11. maddesinde sayılan ilgili kişi hakları.

Aydınlatma metinleri; web sitesi, başvuru formu, sözleşme, kamera alanı veya diğer temas noktalarında, ilgili kişilerin kolayca erişebileceği ve anlayabileceği şekilde sunulur.

3. Kişisel Verilerin İşlenmesi

Kişisel verilerin işlenmesi; elde edilmesi, kaydedilmesi, depolanması, muhafazası, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması veya kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi kapsar.

Kurum, kişisel verileri işlerken aşağıdaki ilkelere uyar:

Hukuka ve dürüstlük kurallarına uygunluk: Veri işleme faaliyetleri ilgili mevzuata ve dürüstlük kurallarına aykırı olamaz.
Doğru ve güncel olma: Kişisel veriler, gerektiğinde güncellenerek doğru tutulur.
Belirli, açık ve meşru amaçlar: Veriler, belirli ve açıkça ortaya konulmuş meşru amaçlarla işlenir.
İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma: Amaçla ilgisiz veya gereğinden fazla veri işlenmez.
İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme: Veriler, saklama-imha politikası çerçevesinde gerekli süre sonunda silinir, yok edilir veya anonim hâle getirilir.

Kişisel veriler, işlenme amacının gerektirdiği süre boyunca ve ilgili mevzuatta belirtilen saklama sürelerine uygun olarak muhafaza edilir; amaç ortadan kalktığında ise uygun yöntemlerle imha edilir.

3.1 Özel Nitelikli Kişisel Veriler Hangi Durumlarda İşlenebilir?

Özel nitelikli kişisel veriler, kural olarak ilgili kişinin açık rızası ile işlenir. Açık rızaya dayanılmadığı hâllerde ise KVKK’da öngörülen istisna hükümleri uygulanır.

Açık rıza ile işleme: Kişisel veri sahibinin belirli bir konuya ilişkin, bilgilendirmeye dayalı ve özgür iradesiyle açıkladığı rızası bulunması hâlinde özel nitelikli veriler işlenebilir.
Cinsel hayat ve sağlık dışındaki özel nitelikli veriler: İlgili kişinin açık rızası bulunmadığında dahi, kanunlarda öngörülen hâllerde istisnai olarak işlenebilir.
Sağlık ve cinsel hayata ilişkin özel nitelikli veriler: Kişinin açık rızası olmaksızın ancak;
- Kamusal düzenin korunması,
- Tedavi ve bakım hizmetlerinin yürütülmesi,
- Tıbbî teşhis, koruyucu hekimlik, sağlık hizmetleri ve finansmanının planlanması ve yönetimi
amaçlarıyla ve sır saklama yükümlülüğü altındaki kişiler veya yetkili kurum ve kuruluşlar tarafından işlenebilir.

Kurum, özel nitelikli verilerin işlenmesinde hem KVKK hükümlerine hem de ikincil düzenlemelere ve Kurul kararlarına uygun hareket eder.

3.2 Kişisel Verilerin Aktarılması

Kişisel verilerin üçüncü kişilere aktarılmasında temel şart, ilgili kişinin açık rızasının bulunması veya KVKK’da sayılan hukuki işleme şartlarından birinin mevcut olmasıdır.

İlgilinin açık rızası olmaksızın kişisel verilerin işlenmesi ve aktarılması, KVKK’nın özellikle 5. ve 6. maddelerinde belirtilen şartların varlığı hâlinde mümkündür. Örneğin;

Kanunlarda açıkça öngörülmesi,
Fiili imkânsızlık nedeniyle rıza veremeyen kişinin veya başkasının hayatı/beden bütünlüğünün korunması,
Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması,
Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaatleri için zorunlu olması

Aktarım süreçlerinde; aktarım yapılan taraflarla gizlilik ve veri işleme sözleşmeleri imzalanır, aktarım kayıt altına alınır ve yurt dışına aktarım söz konusu ise KVKK hükümlerine ve Kurul kararlarına uygun mekanizmalar işletilir.

4. Kişisel Verilerin Kayıt Ortamları

Kişisel veriler, kurumun faaliyetlerinin gerektirdiği ölçüde farklı elektronik ve fiziksel kayıt ortamlarında tutulabilir. Başlıca kişisel veri kayıt ortamları şunlardır:

Sunucular (dosya sunucuları, uygulama sunucuları, veritabanları),
Kurumsal yazılımlar ve iş uygulamaları,
Bilgi güvenliği cihazları (güvenlik duvarı, IDS/IPS, log sunucuları vb.),
Kişisel bilgisayarlar, dizüstü bilgisayarlar,
Mobil cihazlar (akıllı telefonlar, tabletler),
Optik diskler, çıkarılabilir bellekler (USB, harici disk vb.).

Yazıcı, tarayıcı, fotokopi gibi çok fonksiyonlu cihazların hafızaları,
Kâğıt ortamındaki belgeler, formlar ve sözleşmeler,
Manuel veri kayıt sistemleri, dosya dolapları, arşiv klasörleri,
Yazılı, basılı ve görsel ortamlar (formlar, beyanlar, CD/DVD vb.),
Güvenlik kamerası kayıt sistemleri ve erişim kontrol cihazları.

Tüm bu ortamlarda tutulan kişisel veriler için, erişim yetkileri, saklama süreleri, yedekleme, imha ve loglama süreçleri bilgi güvenliği ve KVKK uyum politikaları çerçevesinde yönetilir.

Hızlı Bağlantılar:
KVKK Kurum sitesini ziyaret etmek için buraya tıklayın.
KVKK Uyum Sürecinizi başlatmak için buraya tıklayın.

İçerik Üretici
Esra YAYLA – Nesil Bilişim Teknolojileri Tic. A.Ş.
Category: Blog KVKK
By Aydın Uygar – 24 Ağustos 2021

Blog KVKK Kişisel Verileri Koruma Kanunu Kişisel Verileri Koruma Kanunu Danışmanlığı KVKK KVKK Politikası