KİŞİSEL VERİLERİN KORUNMASI PROSEDÜRÜ
AMAÇ VE KAPSAM
6698 sayılı Kişisel Verilerin Korunması Kanunu (KVK Kanunu) 24.03.2016 ‘da Türkiye Büyük Millet Meclisi’nde kabul edilmiş ve 07.04.2016 tarihli ve 29677 sayılı Resmi Gazete’de yayınlanarak yürürlüğe girmiştir.
Bu Kanunun amacı kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir.
APLEONA faaliyetlerini sürdürürken elde ettiği kamuya açık olmayan kişisel/özel nitelikli kişisel verilerin gizliliğini muhafaza etmeyi, bu verileri işlerken yürürlükte bulunan mevzuata uyumlu olmayı taahhüt etmektedir. Bu taahhüdünü; gerekli yönetim modelini kurma, denetim yapma/yaptırma, süreç yönetimi ile risk analizi çalışmalarını hayata geçirme ve kılavuz görevi gören yönergeleri yürürlüğe alma yoluyla yerine getirmektedir.
APLEONA olarak faaliyetlerimizi sürdürürken elde ettiğimiz kişisel verilerin azaltılması, işlemek zorunda olduğumuz verilerin korunmasına yönelik “kişisel verilerin işlenmesi sürecini” tanımlamak, uygulamak ve sürdürülebilirliğini sağlamak.
Bu prosedür; APLEONA merkezde çalışanlarına, projelerde çalışanlarına, müşterilerine, ziyaretçilerine, taşeron hizmet aldığı gerçek/tüzel kişilerine, tedarikçilerine vb. üçüncü kişilere ait kuruluşumuzun tüm süreçlerinde işlenen kişisel verileri kapsamaktadır.
TANIMLAR
Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,
Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,
Anonim hâle getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini,
Aydınlatma Yükümlülüğü: Veri sorumlusunun, KVKK Madde 10 çerçevesinde kişisel verilerin elde edilmesi sırasında bizzat veya yetkilendirdiği kişi aracılığıyla bilgileri ilgili kişiye sağlamakla yükümlü olduğu hususlar.
Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,
Kurul: Kişisel Verileri Koruma Kurulunu,
Kurum: Kişisel Verileri Koruma Kurumunu,
Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi,
Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini,
Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi,
ifade etmektedir.
UYGULAMA
Kişisel Verilerin İşlenmesinde Genel İlkeler
Kişisel veriler, ancak kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir. Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulmaktadır:
- Hukuka ve dürüstlük kurallarına uygun olma,
- Doğru ve gerektiğinde güncel olma,
- Belirli, açık ve meşru amaçlar için işlenme,
- İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
- İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme,
Kişisel ve Özel Nitelikli Kişisel Verilerin İşlenmesi
Kişisel veriler, APLEONA tarafından sunulan hizmetlerin tarafınıza sunulabilmesini temin için kuruluş içerisinde gerekli operasyonel faaliyetlerin yürütülmesi ve uygun hizmetlerin önerilebilmesi için gerekli çalışmaların ilgili iş birimi ve ortakları ile yapılması, insan kaynağı yönetiminin tarafımızca sağlanıp gerçek kişilerin haklarının temini, ticari kararların verilmesi, uygulanması ve gerçekleştirilmesi konusunda gerekli adımların atılması, iş ilişkisi kurduğumuz gerçek kişilerin ve kuruluşumuzun bu ilişkilerden kaynaklı hukuki güvenliğinin sağlanması ve bunlarla sınırlı olmamak kaydıyla benzer amaçlarla KVK Kanunu’nun 5 ve 6. Maddeleri uyarınca işlenmektedir.
Kişisel veriler, KVK Kanunu’nda sayılan aşağıdaki hallerin varlığında ilgili kişinin rızası olmaksızın işlenebilir:
- Kanunlarda açıkça öngörülmesi.
- Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
- İlgili kişinin kendisi tarafından alenileştirilmiş olması.
Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
Kişisel Veriler
“Kişisel Veriler” ilgili kişinin açık rızası olmadan işlenemez. İlgili kişinin açık rızası olmadan kişisel verilerin işlenebilme istisnaları KVK Kanunu Madde 5/2’de detaylandırılmıştır. APLEONA, Kişisel verileri aşağıdaki kanuni koşullara uygun olarak toplayacak ve işleyecektir.
İlgili kişi, kişisel verilerinin toplanması ve/veyahut işlenmesine mevzuat ve politikaya uygun olarak bilgilendirildikten sonra özgür iradesi ile yazılı yahut elektronik ortamda açık rıza verdikten sonra işlenecektir. Kişisel sağlık verilerin işlenmesi durumunda açık rıza muhakkak yazılı alınır. Alınan açık rıza beyanları fiziksel ya da elektronik ortamda rıza belgelenip ve saklanacaktır. Çalışan ve çalışan adayı yolmak üzere sistemde iki farklı açık rıza beyanı tanımlanmıştır.
Çalışanlara KVK Kanunu kapsamında APL.İK.FRM.033 KVKK Personel Taahhütnamesi ile taahhütname imzalatılır.
Özel Nitelikli Kişisel Veriler
. “Özel Nitelikli Kişisel Veriler’in ilgili kişinin açık rızası olmaksızın işlenmesi yasaktır. İlgili kişinin açık rızası olmadan kişisel verilerin işlenebilme istisnaları KVK Kanunu Madde 6/3’te detaylandırılmıştır.
Özel Nitelikli Kişisel veriler yalnızca ilgili kişinin açık rızasının bulunması ya da, sağlık ve cinsel hayata ilişkin veriler hariç olmak üzere, kanunlarda açıkça öngörülen hallerde işlenebilir (örneğin yukarıda madde 2.1’de sayılan hallerde). Sağlık ve cinsel hayata ilişkin Kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler tarafından ilgilinin açık rıza’sı aranmaksızın işlenebilir. Özel nitelikli kişisel verilerin işlenmesinde Kişisel Verileri Koruma Kurulu kararlarına uygun hareket edilir.
Özel nitelikli verileri işleyen kişilere APL.İK.FRM.034 Özel Nitelikli Verilerin Gizlilik Personel Taahhütnamesi imzalatılır. Örneğin; İnsan kaynakları süreç çalışanları, proje yöneticileri, SEÇ-K süreç çalışanları, işyeri hekimi, iş güvenliği uzmanı vb.
Bu kapsamda hazırlanan açık rıza beyanları:
- APL.İK.FRM.032 Çalışan Açık Rıza Beyanı – Erkek
- APL.İK.FRM.036 Çalışan Adayı Açık Rıza Beyanı
- APL.İK.FRM.040 Müşteri Açık Rıza Beyanı
- APL.İK.FRM.042 Tedarikçi Açık Rıza Beyanı
Kişisel Verilerin Elde Edilme Yöntemleri
Kişisel veriler, APLEONA tarafından sağlanan hizmet ve APLEONA’nın ticari faaliyetlerine bağlı olarak değişkenlik gösterebilmekle birlikte; otomatik ya da otomatik olmayan yöntemlerle veya herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla; onay ve/veya imzanızla tanzim edilen işlemlere ilişkin tüm sözleşmeler/bilgilendirme formları ve sair belgelerle, APLEONA birimleri ve bölümleri, internet sitesi, sosyal medya mecraları, mobil uygulamalar ve benzeri vasıtalarla sözlü, yazılı ya da elektronik olarak toplanabilecektir.
Kişisel Verilerin İmha Edilmesi ve Anonim Hale Getirilmesi
Kişisel veriler işlenme amaçlarına uygun olarak azami muhafaza süresince saklanır; bu süre mevzuatta belirlenen yükümlülüklere uygun davranmak ya da meşru işletme menfaatlerini korumak amacıyla daha uzun süre tutulabilir.
Hukuki, idari ya da ticari olarak gerekli süreler sona erdikten sonra ihtiyaç duyulmayan kişisel veriler mevzuata ve ilgili prosedüre uygun şekilde silinecek, anonimleştirilecek yahut yok edilecektir.
APLEONA fiziksel ve elektronik veri kayıt sistemlerinde bulunan kişisel verilere ilişkin olarak bu verilerin toplanma amacının ortadan kalkması ve hukuki saklama sürelerinin sona ermesi halinde tüm verilerin mevzuata uygun şekilde imhasından sorumludur.
Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınacaktır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az üç (3) yıl süreyle saklanacaktır.
Kişisel Verilerin Aktarılması
Kişisel veriler yalnızca ilgili kişinin veri aktarımına açık rızasının bulunması veya 2.1’de sayılan açık rızanın aranmadığı hallerden birinin varlığı halinde Türkiye’de bulunan üçüncü kişilere aktarılabilir.
Kişisel verilerin yurtdışında bulunan üçüncü kişilere aktarılmasında ise 3.1’de sayılan koşullara ek olarak;
- Kişisel verilerin aktarıldığı yabancı ülkenin yeterli seviyede koruma sağlaması ya da;
- İlgili yabancı ülkede yeterli korumanın bulunmaması durumunda APLEONA’in ve ilgili yabancı ülkedeki veri sorumlularının yeterli korumanın sağlandığını yazılı olarak taahhüt etmeleri ve Kurul’un izninin bulunması, şartları bulunmalıdır.
Haklar ve Yükümlülükler
İlgili Kişinin Hakları
Kişisel verisi APLEONA tarafından toplanan yahut işlenen gerçek kişiler, KVK Kanunu uyarınca veri sorumlusuna başvuru hakkına sahiptir.
Kişisel verisi işlenen gerçek kişilerin KVK Kanunu’nun 11. maddesi uyarınca sahip olduğu haklar ve başvuru yöntemi, “APL.İK.FRM.044 Veri İlgilisi Başvuru Formu” bölümünde yer almaktadır.
Veri Sorumlusu’nun Yükümlülükleri
Aydınlatma Yükümlülüğü
APLEONA ilgili kişilere, kişisel verilerin elde edilmesi sırasında kişisel verilerinin işlenmesi süreci ve veri işlemenin amaçları hakkında bilgilendirici, açık ve anlaşılır bir bildirim yapacak; bu kişilerin Kişisel verilerine ilişkin hakları konusunda bilgilendirilmesini ve APLEONA tarafından işlenen kişisel verilerine makul ölçüde erişimlerinin olmasını sağlayacaktır. İlgili kişilere yapılacak bildirim asgari olarak aşağıdaki unsurları içerir:
- Veri sorumlusunun yahut var ise temsilcisinin kimliği,
- Veri işlemenin amacı, yöntemi ve hukuki sebebi,
- Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
- İlgili kişilerin yukarıda yer alan madde 4.1 altında belirtilen kanuni hakları
APLEONA kişisel verileri genel olarak “Kişisel ve Özel Nitelikli Kişisel Verilerin İşlenmesi” maddesinde tanımlanan sebeplerden dolayı işlemektedir. Bu kapsamda; çalışan, çalışan adayı, tedarikçi, müşteri ve ziyaretçi olmak üzere beş ayrı aydınlatma metni hazırlanmıştır. Bu aydınlatma metinlerine APLEONA ile iletişime geçerek ulaşabilirsiniz:
- APL.İK.FRM.030 Çalışan Aydınlatma Metni
- APL.İK.FRM.035 Çalışan Adayı Aydınlatma Metni
- APL.İK.FRM.039 Müşteri Aydınlatma Metni
- APL.İK.FRM.041 Tedarikçi Aydınlatma Metni
- APL.İK.FRM.043 Ziyaretçi Aydınlatma Metni
Veri Güvenliğine İlişkin Yükümlülükler
APLEONA ilgili mevzuatta belirlenen kapsamda,
- Kişisel verilerin hukuka aykırı olarak işlenmemesini
- Kişisel verilere hukuka aykırı olarak erişilmemesini
- Kişisel verilerin kötüye kullanılmasını, ifşasını, değiştirilmesini ve yok edilmesine karşı muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri alır.
1. APLEONA Kişisel Veri güvenliğini sağlamak amacıyla gerekli denetimleri yapar veya yaptırır.
2. APLEONA faaliyetleri çerçevesinde topladığı ve/veya işlediği Kişisel verileri;
- KVK Kanunu hükümlerine ve politikaya uygun olarak gizli tutar,
- İşleme amacı dışında kullanmaz,
- Görevi gereği Kişisel verilerin işlenmesi faaliyetine dahil olmayan çalışanının her türlü Veri İşleme faaliyetini yasaklar,
- Çalışanlarının görevinin sınırlarına uygun kapsamda ölçüde kişisel verilere erişimine imkan tanır. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.
3. İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, APLEONA bu durumu en kısa sürede ilgilisine ve Kurul’a bildirir.
Veri Sorumluları Siciline Kayıt
APLEONA, Veri Sorumluları Sicili Hakkında Yönetmelik’e göre Kişisel Verileri Koruma Kurumu Başkanlığı tarafından oluşturulacak veri sorumluları siciline kayıt olarak yönetmelik uyarınca gerçekleştirilmesi gereken ilgili yükümlülüğü yerine getirmektedir.