KVKK BİLGİLENDİRME
ÖZEL NİTELİKLİ VERİLERİN İŞLENMESİ POLİTİKASI
1. AMAÇ
Bu Politika, 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nda(Kanun) belirtilen Özel Nitelikli Kişisel verilerin işlenmesine ve güvenliğine ilişkin süreçleri belirlemek üzere oluşturulmuştur.2. KAPSAM
Kanunun 6 ncı maddesinin 4 üncü fıkrası ile veri sorumlularına “Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması yükümlülüğü getirilmiştir. Bu Politika, 07.03.2018 tarihli ve 30353 sayılı Resmi Gazete’de yayınlanan “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler”e ilişkin Kişisel Verileri Koruma Kurulu kararı gereği özel nitelikli kişisel verilerin işlenmesi ve güvenliğine yönelik süreçleri kapsamaktadır.3. ÖZEL NİTELİKLİ VERİLERİN İŞLENMESİ UYGULAMA ESASLARI
Kanun’un 6. maddesinde, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski taşıyan bir takım kişisel veriler “özel nitelikli kişisel veri” olarak belirlenmiştir. Kanun’da “özel nitelikli kişisel veriler” kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri olarak belirlenmiştir.3.1. ÖZEL NITELIKLI KIŞISEL VERILERIN IŞLENMESI
Kanun ile “özel nitelikli” olarak belirlenen kişisel verilerin işlenmesinde, Şirketimiz tarafından, Kanunda öngörülen düzenlemelere hassasiyetle uygun davranılmaktadır. Özel nitelikli kişisel veriler, KVK Kurulu tarafından belirlenen yeterli önlemlerin alınması kaydıyla aşağıdaki durumlarda işlenmektedir:• Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler ancak veri sahibinin açık rızası var ise
• Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen hallerde veya Kişisel veri sahibinin açık rızası var ise;
Özel Nitelikli Kişisel Verilere ilişkin İşlenme Şartları Aşağıda yer almaktadır:
Verinin Niteliği
İşlenme Şartı
Örnek
Sayılı İş Kanunu,Türk Ticaret Kanunu)
Şirketimizde, çalışanlarımızın Özel Nitelikli Kişisel verileri İnsan Kaynakları hizmetini yürüten birim tarafından; Şirketimizin sözleşmesel veya ticari ilişki kurduğu kişilere veya bunların çalışanlarına/temsilcilerine ait kimlik belgelerinde yer alan özel nitelikli kişisel veriler, işlenmektedir. Bu veriler ;• Sağlık raporunun elde edilmesine bağlı süreçlerin yürütülmesi,
• Tespit edilen sağlık durumuna göre pozisyon değişikliklerinin yapılması ve bu yolla çalışanların sağlığına uygun olan iş pozisyonlarının sağlanması,
• Diğer çalışanların sağlığını etkileyebilecek durumların varlığı halinde gecikmeksizin müdahale edilebilmesi.
• Mevzuat, ilgili düzenleyici kurumlar ve diğer otoritelerce öngörülen diğer bilgi saklama, raporlama, bilgilendirme yükümlülüklerine uymak,
• Personel özlük dosyasının oluşturulması, Amaçlarına uygun olarak işlenmekte ve saklanmaktadır. Bu veriler:
• Kimlik belgelerinde yer alan özel nitelikli kişisel veriler,
• Laboratuar Tahlil Raporları,
• Doğum raporu,
• İstirahat ve iş göremezlik raporları,
• Psikoteknik rapor,
• Özürlülük raporu
• SGK Raporu
• SGK İzin Belgeleri
• Kan Grubu Belgesi
• İşe Giriş için Sağlık Raporu
• Sivil Toplum Kuruluşu Üye Belgesi
• Ek Sağlık Tarama Test Raporları (Laboratuvar Bulguları, Fiziki Muayene Sonuçları, Tıbbi Anamnez vs.)
• Kişisel Sağlık Bilgisi
• Ceza Mahkumiyeti Verisi (Sabıka Kaydı)
Olarak kaydedilmekte İnsan Kaynakları faaliyetini yürüten tarafından saklanmaktadır.3.2. ÖZEL NITELIKLI KIŞISEL VERILERIN GÜVENLIĞININ SAĞLANMASI
Şirketimizin özel nitelikli kişisel verilere ilişkin olarak veri sorumlusu sıfatıyla aşağıda belirtilen önlemleri alması esastır ;A. Özel nitelikli kişisel verilerin güvenliğine işbu Politika belirlenmiştir.
B. Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan Çalışan’lara yönelik,
• Kanun ve buna bağlı yönetmelikler ile Özel Nitelikli Kişisel Veri güvenliği konularında düzenli olarak eğitimler verilir,
• Gizlilik sözleşmeleri yapılır,
• Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamları ve süreleri tanımlanır,
• Periyodik olarak yetki kontrolleri gerçekleştirilir,
• Görev değişikliği olan ya da işten ayrılan Çalışanlar’ın bu alandaki yetkileri derhal kaldırılır.
C. Özel Nitelikli Kişisel Verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise,
• Kişisel Veriler, kriptografik yöntemler kullanılarak muhafaza edilir,
• Kriptografik anahtarlar güvenli ve farklı ortamlarda tutulur,
• Kişisel Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtları güvenli olarak loglanır,
• Kişisel Veriler’in bulunduğu ortamlara ait güvenlik güncellemeleri sürekli takip edilir, gerekli güvenlik testleri düzenli olarak yapılır, test sonuçları kayıt altına alınır,
• Kişisel Veriler’e bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmeleri yapılır, bu yazılımların güvenlik testleri düzenli olarak yapılır, test sonuçları kayıt altına alınır,
• Kişisel Veriler’e uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sistemi sağlanır.
D. Özel Nitelikli Kişisel Verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise;
• Özel Nitelikli Kişisel Veriler’in bulunduğu ortamın niteliğine göre yeterli güvenlik önlemleri (Elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alınır,
• Bu ortamların fiziksel güvenliğinin sağlanarak yetkisiz giriş çıkışlar engellenir.
E. Özel Nitelikli Kişisel Veriler aktarılacaksa
• Kişisel Verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle aktarılır,
• Taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenir ve kriptografik anahtar farklı ortamda tutulur,
• Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya FTP yöntemiyle veri aktarımı gerçekleştirilir,
• Kişisel Veriler’in kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınır ve evrak "Gizli ” formatta gönderilir.