Sayı:
KİŞİSELVERİLERİN KORUNMASI HAKKINDA YÖNETMELİK
ŞİRKETBİLGİLERİ:
1. AMAÇ
İşbu yönetmeliğin amacı 6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun vesair mevzuat hükümlerine uyumun sağlanması ve veri güvenliği noktasında etkinliğinsağlanmasıdır.
2. KAPSAM
Sözkonusu yönetmelik MacunMahallesi 177 Cadde No: 19/4 Yenimahalle/ANKARA’dakonuşlu BEŞYILDIZ İLETİŞİM SİSTEMLERİ ELEKTRONİK TİCARET VE SANAYİ LİMİTEDŞİRKETİ’nin personellerini kapsamaktadır.
3. DAYANAK
İşbu yönetmelik 6698 sayılı Kanunun ve ilgili yönetmelikler esas alınarakhazırlanmıştır.
4. KİŞİSELVERİLER HAKKINDA
Kişiselveri, bireylerin kimliklerini belirli hale getirmeye elverişli her türlü bilgiolarak tanımlanabilir. Bu bağlamda kişinin kimlik, iletişim, sağlık ve malibilgileri ile özel hayatına, dini inancına ve siyasi görüşüne ilişkin bilgiler,kişisel veri olarak nitelendirilmektedir.
Günümüzdebu veriler, gerek özel sektör ve gerekse kamu sektörü tarafından bilişimsistemleri üzerinden otomatik yollarla sıkça kullanılmaktadır. Bu bilgilerinkullanılması bireyler ile mal ve hizmet sunanlar bakımından bazı kolaylıklarveya avantajlar sağlasa da, bu durum söz konusu bilgilerin istismar edilmeriskini de beraberinde getirmektedir. Bu verilerin yetkisiz kişiler tarafındanelde edilmesi, kullanılması ve ifşa edilmesi gerek taraf olduğumuz sözleşmelerve gerekse Anayasamızda koruma altına alınan temel hakların ihlali olarakkarşımıza çıkmaktadır. Bu iki menfaat arasında makul bir dengenin oluşturulmasıgerekmektedir. Kişisel verilerin işlenebilmesi hususunda özel bir kanun veetkin bir denetim mekanizmasının bulunmaması toplumumuzda olumsuz bir algınınoluşmasına sebebiyet vermektedir. Oluşan bu algının ortadan kaldırılması içinkişisel verilerin belli şartlar dahilinde işlenmesine, muhafaza edilmesine vekontrolüne ilişkin esasların belirlenmesi gerekmektedir.
Çağımızda insan haklarının korunmasıbilincinin gelişmesine paralel olarak, kişisel verilerin korunmasının da önemiher geçen gün artmaktadır. Bu nedenle günümüzde gelişmiş ülkelerde kişiselverilerin korunması alanında detaylı kanuni düzenlemelerin uygulanmakta olduğugörülmektedir.
5. TANIMLAR
Kişisel Veriler hakkında yaygınkullanıma sahip terimler ve anlamları aşağıdaki gibidir;
a)Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgüriradeyle açıklanan rızayı,
b) Anonim hâle getirme: Kişisel verilerin,başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veyabelirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini,
c)Başkan: Kişisel Verileri Koruma Kurumu Başkanını, ç) İlgili kişi: Kişiselverisi işlenen gerçek kişiyi,
d)Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin hertürlü bilgiyi,
e)Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatikolan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatikolmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi,değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması,elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasınınengellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,
f)Kurul: Kişisel Verileri Koruma Kurulunu,
g)Kurum: Kişisel Verileri Koruma Kurumunu,
ğ)Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişiselverileri işleyen gerçek veya tüzel kişiyi
h)Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarakişlendiği kayıt sistemini, ı) Veri sorumlusu: Kişisel verilerin işlemeamaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından veyönetilmesinden sorumlu olan gerçek veya tüzel kişiyi, ifade eder.
6. KİŞİSELVERİLERİN İŞLENME ŞARTLARI
Kişisel veriler ilgili kişinin açık rızasıolmaksızın işlenemez.
Aşağıdakişartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızınkişisel verilerinin işlenmesi mümkündür:
a)Kanunlarda açıkça öngörülmesi.
b)Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veyarızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasınınhayatı veya beden bütünlüğünün korunması için zorunlu olması.
c)Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmasıkaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekliolması.
ç)Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunluolması.
d)İlgili kişinin kendisi tarafından alenileştirilmiş olması.
e)Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunluolması.
f)İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, verisorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
7. ÖZELNİTELİKLİ KİŞİSEL VERİLERİN İŞLENME ŞARTLARI
Kişilerinırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğerinançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı,cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ilebiyometrik ve genetik verileri özel nitelikli kişisel veridir.
Özel nitelikli kişisel verilerin, ilgilininaçık rızası olmaksızın işlenmesi yasaktır.
Birincifıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlardaöngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlıkve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması,koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi,sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sırsaklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlartarafından ilgilinin açık rızası aranmaksızın işlenebilir.
Özelnitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenenyeterli önlemlerin alınması şarttır.
8. KİŞİSELVERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HÂLE GETİRİLMESİ
Şirketimizbünyesinde verilerin imhası için yılın Ocak ve Temmuz ayları imha dönemleriolarak belirlenmiştir. İlgili kişilerden elde edilen kişisel veriler saklamasürelerinin bitiminden itibaren takip eden imha dönemi içinde şirketbünyesindeki verilerin korunmasından sorumlu personel/personeller tarafındansilinecek, yok edilecek veya anonim hale getirilecektir. İmha işlemine ilişkintutanaklar bağımsız bir yerde şirket bünyesindeki verilerin korunmasındansorumlu personel/personeller tarafından 3 (üç) yıl süreyle tutulacaktır. Üç yılsonra söz konusu tutanaklarda imha edilecektir. İmha işlemine ilişkin 28 Ekim2017 tarih ve 30224 sayılı Kişisel Verilerin Silinmesi, Yok Edilmesi VeyaAnonim Hale Getirilmesi Hakkında Yönetmelik ile 6698 sayılı Kişisel VerilerinKorunması Kanunu hükümleri esas alınacaktır.
Kişiselveriler yasal sürelerin dolması üzerine ilgili kişinin talebi yahut şirkettarafından resen aşağıdaki şekillerde imha edilir.
| AÇIKLAMA | ||
|
| ||
|
| ||
|
| ||
|
| ||
|
| ||
|
|
İşçilerden alınacak kişisel verilerniteliklerine göre farklı zaman dilimlerinde saklanıp imha edilirler. Sözkonusu veriler saklama dönemleri aşağıdaki gibidir. İş bu verilerin saklamasüreleri dolanlar en yakın imha dönemi içinde imha edilir ve imhaya ilişkintutanaklar 3 yıl süre ile muhafaza edilir.
KİŞİSEL VERİ | SAKLAMA SÜRESİ |
İşe alım evrakları ile Sosyal Güvenlik Kurumuna gerçekleştirilen; hizmet süresine ve ücrete dair bildirimlere esas özlük verileri | Hizmet akdinin devamında ve hitamından itibaren de 15 (on beş) yıl müddetle muhafaza edilir. |
İşe alım evrakları ile Sosyal Güvenlik Kurumuna gerçekleştirilen; hizmet süresine ve ücrete dair bildirimlere esas özlük verileri dışında kalan özlük veriler | Hizmet akdinin devamında ve hitamını takip eden takvim yılı yılbaşından itibaren de 10 (on) yıl müddetle muhafaza edilir |
Müşteri Bilgileri | Türk Ticaret Kanunu 82. madde uyarınca ticari defter ve kayıtlara dayanak teşkil eden faturaların düzenlenmesine esas bilgiler anılan kanun maddesi gereği 10 yıl süre ile, bunun dışındaki Müşteri Bilgileri ise işlendikleri amaç için gerekli olan süre kadar saklanır. |
Ticari ilişkiye dayanak akitler ve bunlara ilişkin veriler | 6098 Sayılı Borçlar Kanunu ve sair mevzuat hükümleri gereği 10 yıl |
Çalışanların Kişisel Sağlık Dosyaları | İş Sağlığı ve Güvenliği mevzuatına göre kişisel sağlık dosyalarının 15 yıl saklanması gerekmektedir. |
Çalışan Adayı Bilgileri | En fazla 2 yıl olmak üzere, güncelliğini yitirinceye kadar saklanır. |
Ziyaretçi Bilgileri | 2 yıl süre ile saklanır |
İş Ortağı ve Danışman Bilgileri | Şirket ile olan ilişkisi süresince ve sona ermesinden itibaren Türk Borçlar Kanunu 146. maddesi uyarınca 10 yıl süre ile saklanır. |
Firmalar Tarafından Şirket ile Paylaşılan Bilgiler | Şirket ile olan ilişkisi süresince ve sona ermesinden itibaren Türk Borçlar Kanunu 146. maddesi uyarınca 10 yıl süre ile saklanır. |
Müşteri | Müşteri’nin, satın almış olduğu her bir ürün/hizmetin sunulmasından itibaren Türk Borçlar Kanunu md.146 ile Türk Ticaret Kanunu md.82 uyarınca 10 yıl süre ile saklanır. |
Müşteri/Potansiyel Müşteri Talepleri ve Şikâyetleri | Talep ve/veya şikâyet tarihinden itibaren 10 yıl süre ile saklanır. |
İlgili kişisel verinin Türk Ceza Kanunu veya sair ceza hükmü getiren mevzuat kapsamında bir suça konu olması | Dava zamanaşımı süresince |
Log Kayıt Takip Sistemleri | 10 yıl |
Donanım ve Yazılıma Erişim Süreçlerinin Yürütülmesi | 2 Yıl |
Ziyaretçi ve Toplantı Katılımcılarının Kayıtları | Akdi bir ilişki yok ise etkinliğin bitiminden itibaren 2 yıl |
Çalışan olmayan kursiyer, stajyer bilgileri | Şirketle eğitim ve sair faaliyetleri müddetince ve ilişkilerinin sona emesinden itibaren 1 yıl |
Çalışan adaylarından alınan kişisel veriler | Adaylık başvurusunun olumsuz sonuçlanması halinde en yakın imha dönemine kadar |
İlgili kişi, Kanunun 13’ncü maddesineistinaden şirkete başvurarak kendisine ait kişisel verilerin silinmesini veyayok edilmesini talep ettiğinde;
1. Kişiselverileri işleme şartlarının tamamı ortadan kalkmışsa; Şirket talebe konukişisel verileri talebi aldığı günden itibaren 30 (otuz) gün içinde gerekçesiniaçıklayarak uygun imha yöntemi ile siler, yok eder veya anonim hale getirir.Şirket’in talebi almış sayılması için ilgili kişinin talebini Kişisel Verilerinİşlenmesi ve Korunması Politikasına uygun olarak yapmış olması gerekir. Şirket,her halde yapılan işlemle ilgili ilgili kişiye bilgi verir.
2. Kişiselverileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep Şirkettarafından Kanunun 13’ncü maddesinin üçüncü fıkrası uyarınca gerekçesiaçıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün içindeyazılı olarak ya da elektronik ortamda bildirilir. İlgili kişinin kurumaşikayet hakkı saklıdır. Bu bağlamda ilgili kişiler taleplerin reddedildiğiniöğrenmelerinden itibaren Kurula 60 (altmış gün) içinde başvurabilir.
3. Buçerçevede “yazılı” olarak Şirketimize yapılacak başvurular,
· BaşvuruSahibinin şahsen başvurusu ile,
· Notervasıtasıyla,
· BaşvuruSahibince 5070 Sayılı Elektronik İmza Kanunu’nda tanımlı olan “güvenlielektronik imza” ile imzalanarak yapılabilir.
9. KİŞİSELVERİLERİN AKTARILMASI
Kişiselveriler aşağıdaki şartların varlığı halinde üçüncü kişilerle paylaşılabilecekve onlara aktarılabilecektir;
· İlgili kişinin açıkrızasının alınması,
· Kanunlarda açıkçaöngörülmesi,
· Fiili imkânsızlıknedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukukigeçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya bedenbütünlüğünün korunması için zorunlu olması,
· Bir sözleşmeninkurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenintaraflarına ait kişisel verilerin işlenmesinin gerekli olması,
· Veri sorumlusununhukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
· İlgili kişinin kendisitarafından alenileştirilmiş olması,
· Bir hakkın tesisi,kullanılması veya korunması için veri işlemenin zorunlu olması,
· İlgili kişinin temelhak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşrumenfaatleri için veri işlenmesinin zorunlu olması halinde kişisel verilerinaktarılabilmesi mümkündür.
Özel niteliktekikişisel veriler ise,
· İlgili kişinin açıkrızasının alınması halinde,
· Sağlık ve cinsel hayatdışındaki özel nitelikli kişisel veriler bakımından kanunlarda açıkçaöngörülmüş olması halinde,
· Sağlık ve cinsel hayatailişkin kişisel veriler bakımından ise kamu sağlığının korunması, koruyucuhekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlıkhizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklamayükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafındanözel nitelikteki kişisel veriler üçüncü kişilere aktarılabilir.
10. PERSONEL
KişiselVerilerin Korunma süreci ile alakalı münhasıran personel görevlendirilecek olupsöz konusu personel haricinde süreç takip edilmeyecektir. Yine söz konusupersonele bu işle alakalı münhasır hat bağlanacak ve mail tanımlanacaktır.
11. İMHADÖNEMLERİ
İşlenenve elde edilen kişisel veriler yasal mevzuatlarda belirtilen süreler boyuncamuhafaza edilir. Aynı konuda farklı yasalar birden fazla süre öngörmüşse sözkonusu veri un uzun süre boyunca saklanır. İş bu saklama sürelerinin sonundakiilk imha döneminde bilgi ve belgeler yok edilir. Bu işlem bir tutanağabağlanarak tutanak 3 yıl muhafaza edilir.
VeriSorumlusu olarak Ocak ve Temmuz ayları imha dönemleri olarak tayin edilmiştir.
12. AÇIKRIZA VE TAAHHÜTNAMELER
KVKKuyumluluk süreci kapsamında işlenen kişisel veriler ile alakalı olarakişçilerden açık rıza metinleri alınır. İş bu metinler tarafların idareceaydınlatılmalarından ve aydınlatma metinlerinin taraflara imzalatılmasındansonra yapılır.
İşçilerden 6698 sayılı kanun başta olmaküzere, sair mevzuatlara uyacakları konusunda taahhüt alınır. Yönetim katıçalışanlarından ayrıca temiz masa şartnamesine uyacaklarına ilişkin taahhütleile birlikte gizlilik taahhütnamesi de alınmalıdır.
13. CEZALAR
Personelinihmali davranışıyla bir kişinin kişisel verisine haksız bir müdahaledebulunması halinde söz konusu personele uyarı cezası verilecektir.
Personelinimha politikası, temiz masa şartnamesi ve parola politikası kapsamındabelirlenen tedbirlere uymaması halinde uyarma cezası verilecektir.
Personelinihmali davranışla üç veya daha fazla kişinin kişisel verisine haksız birmüdahale de bulunması halinde söz konusu personele kınama cezası verilecektir.
Personelinkasıtlı davranışıyla bir kişinin kişisel verisine haksız müdahalede bulunmasıhalinde söz konusu personele 1 ile 5 gün arasında maaş kesme cezasıverilecektir.
Personelinkasıtlı davranışla üç veya daha fazla kişinin kişisel verisine haksız birmüdahale de bulunması halinde söz konusu personele 5 ile 10 gün arasında maaşkesme cezası verilecektir.
Birve ikinci paragraftaki eylemlerin (yani ihmali davranışların) üç kere, üç vedördüncü paragraftaki eylemlerin (yani kasıtlı davranışların) iki kere tekrarıhalinde personelin iş sözleşmesi işveren tarafından haklı nedenle fesih edilmişsayılacaktır.
İşbu madde kapsamında yer almayan hükümler ve disiplin kurullarının teşekkül vekarar verme sürecine ilişkin olarak disiplin yönetmeliğinin ilgili hükümleriuygulanır.
14. DENETİMDÖNEMLERİ
İş bu firma kapsamında senede en az 2kere veri güvenliği denetimi yapılacak olup söz konusu denetim KVKK uyumuyetkili personeli ve teknik personel eşliğinde habersiz olarakgerçekleştirilerek tutanağa bağlanacaktır.
İhlal tespiti halinde gerekli tedbirleralınarak ilgili ve kusurlu personeller uyarılacak gerekse disiplin sürecibaşlatılacaktır.
15. YÜRÜRLÜK
İşbu yönetmelik …/…/… tarihinde imzalanmak suretiyle yürürlüğe girmiş olupişçilerin göreceği şekilde aynı imza gününde asılacak ve ilan edilecektir.