ÖZEL NİTELİKLİ KİŞİSEL VERİLERE İLİŞKİN POLİTİKA

1-KAPSAMI VE TANIMLAR

Politika; tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla verilerin işlendiği sistemlerde yer alan Özel Nitelikli Verilere ilişkindir.

2-ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ

6698 sayılı KVK Kanunun 6/1. maddesi  uyarınca; ‘kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri’ özel nitelikli kişisel veridir.

Özel nitelikli veriler; bu verilerin korunması konusunda Kişisel Verileri Koruma Kurulu tarafından belirlenen önlemlerin alınması suretiyle,6698 sayılı KVK Kanununun 6. maddesinde belirtilen  ‘Özel Nitelikli Kişisel Verilerin İşlenme şartları’ çerçevesinde aşağıdaki şartların varlığı halinde işlenmektedir:

•Kişisel Veri Sahibinin Açık Rızası var ise,

•Kişisel Veri Sahibinin Açık Rızası yok ise; Sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde, Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi ve ayrıca sır saklama yükümlülüğü altında bulunulan durumlarda, mevzuatın öngördüğü ölçüde işlenmektedir.

3- ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN YURTİÇİNE AKTARILMASI

Özel Nitelikli Veriler, KVK Kanununun  8.maddesinde öngörülen düzenlemeye uygun olarak,

A)Açık rıza gerektiren hallerde 8. maddenin 1. fıkrası    gereğince açık rıza alınmak suretiyle,

B)5 inci maddenin ikinci fıkrasında yazılı şartlardan birinin varlığı halinde açık rıza aranmaksızın,

C) Yeterli önlemler alınmak kaydıyla  6. maddenin 3. fıkrasında yazılı;

•Sağlık ve cinsel hayat dışındaki kişisel veriler(ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf veya sendika üyeliği, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler)kanunlarda öngörülen hâllerde,

•Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile   finansmanının planlanması ve yönetimi ve ayrıca sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi kapsamında, açık rıza aranmaksızın ŞİRKET tarafından yurtiçinde aktarılabilecektir.    

4.ÖZEL NİTELİKLİ VERİLERİN KORUNMASINA İLİŞKİN ÖNLEMLER

Kişisel Verileri Koruma Kurulunun 31/01/2018 Tarihli ve 2018/10 Sayılı Kararı uyarınca;

1- Özel nitelikli kişisel verilerin güvenliğine yönelik sistemli, kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir ayrı bir politika ve prosedürü belirlenmiştir.

2- Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik,

a) Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilmekte,

b) Gizlilik sözleşmeleri yapılmakta,

c) Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamlarının ve sürelerinin net olarak tanımlanmakta,

ç) Periyodik olarak yetki kontrolleri gerçekleştirilmekte,

d) Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri derhal kaldırılmakta ve  ŞİRKET  tarafından kendisine tahsis edilen envanter iade alınmakta,

3- Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise;

a) Verilerin kriptografik yöntemler kullanılarak muhafaza edilmekte,

b) Kriptografik anahtarların güvenli ve farklı ortamlarda tutulmakta,

c)Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtları güvenli olarak loglanmakta,

ç) Verilerin bulunduğu ortamlara ait güvenlik güncellemeleri sürekli takip edilmekte, gerekli güvenlik testleri düzenli olarak yapılmakta/yaptırılmakta, test sonuçları kayıt altına alınmakta,,

d) Verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmeleri yapılmakta,bu yazılımların güvenlik testleri düzenli olarak yapılmakta/yaptırılmakta, test sonuçları kayıt altına alınmakta,

e)Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sisteminin sağlanmakta,

4- Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise;

a) Özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alındığından emin olunmakta,

b) Bu ortamların fiziksel güvenliği sağlanarak yetkisiz giriş çıkışlar engellenmekte,

5- Özel nitelikli kişisel veriler aktarılacaksa;

a) Verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılması sağlanmakta,

b) Taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmesi ve kriptografik anahtarın farklı ortamda tutulmakta,

c) Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımı gerçekleştirilmekte,

ç) Verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınması ve evrakın “gizlilik dereceli belgeler” formatında gönderilmektedir.

6- Yukarıda belirtilen önlemlerin yanı sıra Kişisel Verileri Koruma Kurumunun internet sitesinde yayımlanan Kişisel Veri Güvenliği Rehberinde belirtilen uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirler de dikkate alınmaktadır.

cultureSettings.RegionId: 0 cultureSettings.LanguageCode: TR