Özel Nitelikli Kişisel Verilerin Korunması, İşlenmesi Ve Aktarım Politikası
Başaran Hukuk Bürosu
BAŞARAN HUKUK BÜROSU
ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN
KORUNMASI, İŞLENMESİ VE AKTARIM POLİTİKASI
İÇİNDEKİLER
I. GİRİŞ
- Amaç 3
- Kapsam 3
- Tanımlar 3 - 4
- ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİNE İLİŞKİN GENEL İLKELER 4 - 5
- ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ 5
- ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN ÖNLEMLER 5 - 6
- ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN AKTARILMASI 6 – 7
- KİŞİSEL VERİLERİN AKTARILDIĞI ÜÇÜNCÜ KİŞİLER VE AKTARILMA
- AMAÇLARI 7
- İŞLEME ŞARTLARININ ORTADAN KALKMASI 7
- POLİTİKA YÜRÜRLÜK VE GÜNCELLEMELER 8
- POLİTİKANIN YÜRÜRLÜK TARİHİ 8
- DİĞER HUSUSLAR 8
- GİRİŞ
- Amaç
Özel nitelikli kişisel verilerin korunması, Başaran Hukuk Bürosu (“Başaran Hukuk” veya “Büro”) en önemli öncelikleri arasında olup, bu hususta yürürlükte bulunan tüm mevzuata uygun davranmak için azami gayret göstermektedir.
Özel Nitelikli Kişisel Verilerin Korunması ve İşlenmesi Politikası (“Politika”) çerçevesinde Büromuz tarafından gerçekleştirilen özel nitelikli kişisel veri işleme faaliyetlerinin yürütülmesinde benimsenen ilkeler, usul ve esaslar ile Büromuzun veri işleme faaliyetlerinin 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (“Kanun”) yer alan düzenlemelere uygunluğu bakımından benimsenen temel prensipler açıklanmakta ve böylelikle Büromuz, kişisel veri sahiplerini bilgilendirerek gerekli şeffaflığı sağlamaktadır. Bu kapsamdaki sorumluluğumuzun tam bilinci ile kişisel verileriniz işbu Politika kapsamında işlenmekte ve korunmaktadır.
- Kapsam
6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) 6. maddesinde, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski taşıyan bir takım kişisel verileri “Özel Nitelikli Kişisel Veri” olarak tanımlamıştır. Kişilerin etnik kökeni, siyasi düşüncesi, inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veri kapsamına girmektedir.
İşbu Politika; kişilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm özel nitelikli kişisel verilerine ilişkindir.
- Tanımlar
Büro |
Başaran Hukuk Bürosu |
Kanun |
6698 Sayılı Kişisel Verilerin Korunması Kanunu’dur. |
Yönetmelik |
Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Haline Getirilmesi Hakkında Yönetmelik’tir. |
Kurul |
Kişisel Verileri Koruma Kurulu’dur. |
Açık rıza |
Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve |
Kayıt ortamı |
Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortama verilen addır. |
Kişisel veri
|
Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir ve kişinin fiziksel, ekonomik, kültürel, sosyal veya psikolojik kimliğini ifade eden somut bir içerik taşıması veya kimlik, vergi numarası gibi herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm hallerini kapsar. |
Kişisel Verilerin İşlenmesi |
Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem. |
Kişisel Veri İşleme Envanteri |
Veri sorumlarının iş güçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel veri işleme amaçlarını, veri kategorisini, aktarılan alıcı grubunu ve veri konusunu kişi grubuyla ilişkilendirerek oluşturan ve detaylandıran envanterdir. |
Özel nitelikli kişisel veri |
İşbu kanunda belirtilen özel nitelikli kişisel veriler, işlenmeleri halinde sahipleri hakkında ayrımcılık yapılmasına neden olma riski taşıyan verilerdir. |
Veri Sahibi/İlgili Kişi |
Kişisel verisi işlenen gerçek kişi. |
Sicil |
Başkanlık tarafından tutulan Veri Sorumluları Sicilidir (VERBİS). |
Veri kayıt sistemi |
Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemidir. |
Veri Sorumlusu |
Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. |
Alıcı grubu |
Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisidir. |
İlgili kullanıcı |
Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişilerdir. |
ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİNE İLİŞKİN GENEL İLKELER
Başaran Hukuk, özel nitelikli kişisel verilerin korunması ile hukuka aykırı olarak işlenmesinin önlenmesi ile ilgili gerekli her türlü teknik ve idari tedbirleri alır.
Başaran Hukuk, kişisel verileri Kanun’da belirtildiği şekle aykırı olarak işlemeyeceğini taahhüt eder.
Büromuz, Kanun’un 6. Maddesi 3.fıkrasındaki özel nitelikli kişisel verilerin işlenmesi şartlarında Kanun’da belirtilen istisnalar dışında açık rızasını almadığı kişilerin özel nitelikli kişisel verilerini işlemesi ve saklaması yasaktır.
Başaran Hukuk, özel nitelikli kişisel verileri sakladığı durumlarda, verileri ilgili mevzuata bağlı kalarak açık rıza alınması durumunda işler.
- ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ
Başaran Hukuk, ilgili kişilerin özel nitelikli kişisel verilerinin hukuka ve Kanuna uygun bir şekilde, Kurul tarafından belirlenecek yeterli önlemlerin alınması kaydıyla, aşağıdaki şartların varlığı halinde işlemektedir:
- Veri Sahibi’nin açık rızası var ise veya
- Veri Sahibi’nin açık rızası yok ise; Veri Sahibi’nin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen hallerde rıza aranmaksızın; Veri Sahibi’nin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından rıza aranmaksızın işlenmektedir.
Kişisel veriler Büromuz bünyesinde veri sahiplerinden alınan açık rıza aracılığıyla işlenmekte olup, bu veriler ancak işbu Politikanın ‘Özel Nitelikli Kişisel Verilerin İşlenmesine İlişkin Genel İlkeler’ bölümünde belirtilen kontroller çerçevesinde işlem görmektedir.
- ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN ÖNLEMLER
Büromuz, Kanun’un 6. maddesinde yer alan, Özel Nitelikli Kişisel Verilerin işlenmesinde, Veri Sorumlusu sıfatıyla, aşağıda belirtilen önlemleri almaktadır:
- Özel nitelikli kişisel verilerin güvenliğine yönelik sistemli, kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir işbu Politika ve ilgili prosedür belirlenmiştir.
- Özel Nitelikli Kişisel Verilerin işlenmesi süreçlerinde yer alan Çalışanlara yönelik,
a. Kanun ve buna bağlı yönetmelikler ile Özel Nitelikli Kişisel Veri güvenliği konularında düzenli olarak eğitimler verilmektedir.
b. Gizlilik sözleşmeleri yapılmaktadır.
c. Periyodik olarak yetki kontrolleri gerçekleştirilmektedir.
d.Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamlarının ve sürelerinin net olarak tanımlanmıştır.
e.Görev değişikliği olan ya da işten ayrılan Çalışanların bu alandaki yetkileri derhal kaldırılmaktadır.
Bu kapsamda, Veri Sorumlusu tarafından bunlara tahsis edilen envanter iade alınmaktadır.
- Özel Nitelikli Kişisel Verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar elektronik ortam ise;
a. Özel Nitelikli Kişisel Veriler, kriptografik yöntemler kullanılarak muhafaza edilmektedir.
b. Kriptografik anahtarlar güvenli ve farklı ortamlarda tutulmaktadır.
c. Özel Nitelikli Kişisel Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtları güvenli olarak loglanmaktadır.
d. Özel Nitelikli Kişisel Verilerin bulunduğu ortamlara ait güvenlik güncellemeleri sürekli takip edilmekte, gerekli güvenlik testleri düzenli olarak yapılmakta/yaptırılmakta, test sonuçları kayıt altına alınmaktadır.
e. Özel Nitelikli Kişisel Verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı
yetkilendirmeleri yapılmakta, bu yazılımların güvenlik testleri düzenli olarak yapılmakta/yaptırılmakta, test sonuçları kayıt altına alınmaktadır.
f. Özel Nitelikli Kişisel Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sisteminin uygulanması sağlanmaktadır. www.
- Özel Nitelikli Kişisel Verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar fiziksel ortam ise;
a. Özel Nitelikli Kişisel Verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemleri (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alınmaktadır.
b. Bu ortamların fiziksel güvenliği sağlanarak yetkisiz giriş çıkışlar engellenmektedir.
- Kişisel Verileri Koruma Kurumunun internet sitesinde yayımlanan Kişisel Veri Güvenliği Rehberinde belirtilen uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirler de dikkate alınmaktadır.
- ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN AKTARILMASI
Başaran Hukuk, hukuka uygun olarak elde etmiş olduğu Özel Nitelikli Kişisel Verileri, veri işleme amaçları doğrultusunda, gerekli güvenlik önlemlerini alarak, Veri Sahibi’nin Özel Nitelikli Kişisel Verilerini üçüncü kişilere aktarabilmektedir. Bu doğrultuda Başaran Hukuk, Özel Nitelikli Kişisel Verileri aşağıda belirtilen şartlardan birinin varlığı halinde üçüncü kişilere aktarabilecektir.
- Veri Sahibi’nin açık rızası var ise,
- Veri Sahibi’nin açık rızası yok ise; Veri Sahibi’nin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen hallerde, Veri Sahibi’nin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmekte ve aktarımı yapılmaktadır.
Yukarıda detaylı olarak sayılanlara ek olarak kişisel veriler, Kurul tarafından yeterli korumaya sahip olduğu ilan edilen yabancı ülkelere (“Yeterli Korumaya Sahip Yabancı Ülke”) yukarıdaki şartlardan herhangi birinin varlığı halinde aktarılabilecektir. Yeterli korumanın bulunmaması durumunda ise mevzuatta öngörülen veri aktarım şartları doğrultusunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt ettiği ve Kurul’un izninin bulunduğu yabancı ülkelere (“Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülke”) aktarılabilecektir.
Özel Nitelikli Kişisel Veriler aktarılacaksa;
a. Kişisel Verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılmaktadır.
b. Taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmekte ve kriptografik anahtar farklı ortamda tutulmaktadır.
c. Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımı gerçekleştirilmektedir.
d. Kişisel Verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınmakta ve evrak gizlilik derecesi gözetilerek “Gizli” formatında gönderilmektedir.
e. Kişisel Verilerin gönderici tarafından online bir depolama alanına yüklediği alıcının ise verileri buradan temin ettiği paylaşımların tamamı Bulut (Cloud) paylaşım olup, bu yöntem ile paylaşılan veri şifrelenecek ve şifre gönderici tarafından alıcıya başka bir iletişim kanalı ile gönderilecektir. Bulut paylaşımı yalnızca Başaran Hukuk donanımları ve ağı kullanılarak yapılabilir, çalışanın bulut paylaşımını Başaran Hukuk donanımları ve ağını kullanmadan yapmasına izin verilmez.
f. Kişisel veriler, Başaran Hukuk’un ortak alanları kullanılarak departmanlar içerisinde ve/veya departmanlar arasında paylaşılabilir. Ağ üzerinden yapılacak paylaşımlarda, kişisel veriler kriptografik yöntemlerle şifrelenmekte ve kriptografik anahtar farklı ortamda tutulmaktadır.
- KİŞİSEL VERİLERİN AKTARILDIĞI ÜÇÜNCÜ KİŞİLER VE AKTARILMA AMAÇLARI
Başaran Hukuk, KVKK’nın 8. ve 9. maddelerine uygun olarak işbu Politika ile yönetilen veri sahiplerinin kişisel verilerini aşağıda sıralanan kişi kategorilerine aktarılabilir. Bu kişilerin kapsamı ve veri aktarım amacı aşağıda belirtilmektedir.
- Büromuzun iş ortaklarına: İş ortaklığının kurulma amaçlarının yerine getirilmesini temin etmek amacıyla sınırlı olarak yapılabilir.
- Banka ve sigorta şirketlerine
- Hukuken yetkili kamu kurum ve kuruluşları: İlgili kamu kurum ve kuruluşlarının hukuki yetkisi dâhilinde talep ettiği amaçla sınırlı olarak kullanılabilir.
- Büromuz vekilleri: Hukuki faaliyetler için gereklilik arz etmesi durumunda büromuz vekillerine veri aktarılabilmektedir.
- Kanunen yetkili özel hukuk kişilerine, adli mercilerine, resmi kurumlara
- İŞLEME ŞARTLARININ ORTADAN KALKMASI
Başaran Hukuk Bürosu, işlenen özel nitelikli kişisel veriler daimi olarak güncel tutmaktadır.
Başaran Hukuk, özel nitelikli kişisel veri işlenme şartlarının güncelliğinden sorumludur ve bu sorumluluğunu tüm çalışanları ile paylaşır. Çalışanlar, veri işlenme şartlarının ortadan kalktığı durumlarda veri işlemeye devam edemez. Başaran Hukuk, şartların ortadan kalktığı ortamları ilgili iş birimlerinin talebi üzerine İşbu Politika’ya uygun bir şekilde ortadan kaldırmakla yükümlüdür.
Başaran Hukuk aşağıda örnek olarak listelenen ve Yönetmelik içinde de belirtilen ilgili durumlarda özel nitelikli kişisel veri işlenme şartlarının ortadan kalktığını kabul eder:
- Kişisel verilerin işlenmesini gerektiren amacın ortadan kalkması,
- Kişisel verileri işlemenin hukuka veya dürüstlük kuralına aykırı olması,
- Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması.
Bu kapsamda Başaran Hukuk tarafından “Kişisel Veri Saklama ve İmha Politikası” içerisinde tanımlı olan tedbirler, uygulama esas usulleri ve bu çerçevede alınacak olan önlemler geçerlidir.
POLİTİKA YÜRÜRLÜK VE GÜNCELLEMELER
İşbu Politika Başaran Hukuk Yönetimi tarafından onaylandığı tarihte yürürlüğe girecektir. Politikada yapılacak değişiklikler ve bu değişikliklerin yürürlüğe konulması konusunda gereken çalışmalar Hukuk, Denetim ve KVKK Çalışma Grubu tarafından yapılacak ve değişiklikler Hukuk Büromuz Yönetim onayından sonra yürürlüğe girecektir.
Ancak mevzuat değişiklikleri, atıf yapılan bir teknik standarttaki değişme, Kişisel Verileri Koruma Kurulu’nun işlemleri ve/veya vereceği kararlar ile mahkeme kararları doğrultusunda Başaran Hukuk bu Politikayı gözden geçirme ve gerekli durumlarda Politikayı güncelleme, değiştirme veya ortadan kaldırıp yeni bir Politika oluşturma hakkını saklı tutar.
Başaran Hukuk, Politika üzerinde yaptığı değişiklikler incelenebilecek olacak şekilde güncellenen Politika’yı e-posta yolu ile çalışanlarıyla paylaşacak ve kurumsal intranet üzerinden çalışanlarının erişimine sunacaktır.
Politika, olağan olarak yılda bir defa gözden geçirilerek güncellenir. Politikanın yürürlükten kaldırılmasına ilişkin olarak karar verme yetkisi Başaran Hukuk Yönetimi’ne aittir.
POLİTİKANIN YÜRÜRLÜK TARİHİ
İşbu Politika 01/01/2021 tarihinde yürürlüğe girmiştir.
- IX. DİĞER HUSUSLAR
KVKK ve ilgili diğer mevzuat hükümleri ile işbu Politika arasında uyumsuzluk olması halinde, öncelikle KVKK ve ilgili diğer mevzuat hükümleri uygulanacaktır.
Politikada değişiklik olması durumunda, Politikanın yürürlük tarihi ve ilgili maddeler bu doğrultuda güncellenecektir.
Onay: Kaşe - İmza