ÖZEL NİTELİKLİ KİŞİSEL VERİ GÜVENLİĞİ POLİTİKASI

Hedef Kitle:  tarafından özel nitelikli kişisel verileri işlenen tüm gerçek kişiler

Hazırlayan:  Kişisel Verilerin Korunması Komitesi

Versiyon: 1.0

Onaylayan:MAVİGÖL GAZ OTOMOTİV TEKSTİL İNŞAAT İLETİŞİM TURİZM GIDA EĞİTİM SANAYİ VE TİCARET ANONİM ŞİRKETİ tarafından onaylanmıştır.

ÖZEL NİTELİKLİ KİŞİSEL VERİ GÜVENLİĞİ POLİTİKASI

  1. GİRİŞ

(“”) yürüttüğü faaliyetlerde özel nitelikli kişisel verilerin korunmasına önem vermekte ve iş ve işlemlerinde öncelikleri arasında kabul etmektedir.  Özel Nitelikli Kişisel Veri Güvenliği Politikası (“Politika), 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) Madde 6’da belirlenen özel nitelikli kişisel veri işleme usul ve esaslarının  organizasyon ve iş süreçlerinin uyumuna yönelik temel düzenlemedir.  bu Politika prensipleri doğrultusunda, üst düzey sorumluluk ve bilinciyle özel nitelikli kişisel verileri işlemekte ve korumakta, özel nitelikli kişisel veri sahiplerini bilgilendirerek gerekli şeffaflığı sağlamaktadır.

  • Amaç

Bu Politikanın amacı, Kanun ve ilgili diğer mevzuat ile öngörülen usul ve esasları,  organizasyon ve süreçlerine  uyumlulaştırılarak, faaliyetlerinde etkin bir şekilde uygulanmasını sağlamaktır.  özel nitelikli kişisel verilerin işlenmesi ve korunması için bu Politika ile her türlü idari ve teknik önlemleri almakta, gerekli iç prosedürler oluşturmakta, farkındalığı arttırmakta, bilincin sağlanması için gerekli tüm eğitimleri yapmaktadır. Hissedarlar, yetkililer, çalışanlar ve iş ortaklarının Kanun süreçlerine uyumları için, gerekli tüm önlemler alınmakta, uygun ve etkin denetim mekanizmaları kurulmaktadır.

1.2. Kapsam

Politika, iş süreçlerinde otomatikolanyadaherhangibirverikayıt sistemininparçasıolmakkaydıylaotomatikolmayanyollarla elde edilen bütün özel nitelikli kişisel verilerikapsamaktadır.

1.3 Dayanak

Politika, Kanun ve ilgili mevzuata dayanmaktadır.Kişisel veriler; 6698 sayılı Kişisel Verilerin Korunması Kanunu, Kişisel Verileri Koruma Kurumu’nun 31/01/2018 Tarih 2018/10 numaralı kararı ile bu Kanunda değişiklik yapan Kanunlar ve diğer ilgili mevzuattan kaynaklanan yasal yükümlülükleri yerine getirmek için işlenmektedir.

Yürürlükteki mevzuat ve Politika arasındauyumsuzluk olduğu hallerdeyürürlüktekimevzuatuygulanır. İlgilimevzuattarafından öngörülen düzenlemeler, Politika ileuygulamalarına dönüştürülmektedir.

1.4 . Tanımlar

Açık rıza Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade eder.
İlgili kullanıcı Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişilerdir.
İmha Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.
Kayıt ortamı Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişiselverilerin bulunduğu her türlü ortam.
Kişisel veri Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Kişisel verilerin işlenmesi Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
Kişisel verilerin anonim hale getirilmesi Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi.
Kişisel veri sahibi Kişisel verileri  tarafından veya adına işleme sokulan gerçek kişi.
Kişisel verilerin silinmesi Kişisel verilerin silinmesi; kişisel verilerin İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale

getirilmesi.
Kişisel verilerin yok edilmesi Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz halegetirilmesi işlemi.
Kurul Kişisel Verileri Koruma Kurulu
Kurum Kişisel Verileri Koruma Kurumu
Özel nitelikli kişisel veri Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileriile

biyometrik ve genetik verileri.
Periyodik imha Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.
Veri İşleyen Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişi.
Veri Kayıt Sistemi Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi.
Veri sahibi / İlgili kişi Kişisel verisi işlenen gerçek kişi.
Veri sorumlusu Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olangerçek veya tüzel kişi.

  1. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN KORUNMASI KONULARI

Özel nitelikli olan; kişilere ait ırk,etnikköken,siyasidüşünce,felsefiinanç,din,mezhepveyadiğerinançlar,kılık ve kıyafet,dernek,vakıfyadasendikaüyeliği,sağlık,cinselhayat,cezamahkûmiyeti,güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetikverilerinkorunmasına yönelik alınan önlemlerözenle uygulanmakta ve gereklidenetimler yapılmaktadır.

  • Özel Nitelikli Kişisel Veri Güvenliği Politikası
  • Özel nitelikli kişisel verilerin güvenliğine yönelik sistemli, kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir ayrı bir politika ve prosedür, işbu politika ile belirlenmiştir.
  • Çalışanlara Yönelik Özel Nitelikli Kişisel Verilerin Korunması Önlemleri
  • Çalışanlara Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilmektedir.
  • Çalışanlarımıza gizlilik sözleşmeleri yapılmaktadır.
  • Çalışanlardan verilere erişim yetkisine sahip kullanıcıların, yetki kapsamları ve süreleri net olarak tanımlanmıştır.
  • Çalışanların yetki kontrolleri periyodik olarak gerçekleştirilmektedir.
  • Çalışanlardan görev değişikliği olan ya da işten ayrılanların bu alandaki yetkileri derhal kaldırılmaktadır.
  • Çalışanlardan görev değişikliği olan ya da işten ayrılanların, veri sorumlusu tarafından kendisine tahsis edilen envanteri iade alınmaktadır.

2.3.   Elektronik Ortamdan Erişilmesi Veya Elektronik Ortamda Muhafaza Edilmesi Durumunda Özel Nitelikli Kişisel Verilere Yönelik Önlemler

  • Özel Nitelikli Veriler kriptografik yöntemler kullanılarak muhafaza edilmektedir.
  • Kriptografik anahtarlar güvenli ve farklı ortamlarda tutulmaktadır.
  • Özel Nitelikli Kişisel Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtları güvenli olarak loglanmaktadır.
  • Özel Nitelikli Kişisel Verilerin bulunduğu ortamlara ait güvenlik güncellemeleri sürekli takip edilmektedir.
  • Özel Nitelikli Kişisel Verilere ilişkin gerekli güvenlik testleri düzenli olarak yapılmakta veya yaptırılmaktadır; ayrıca test sonuçları kayıt altına alınmaktadır.
  • Verilere bir yazılım aracılığı ile erişilmesi durumunda bu yazılıma ait kullanıcı yetkilendirmeleri yapılmakta, bu yazılımların güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması sağlanmaktadır.
  • Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sistemi kullanılmaktadır.
  • Fiziksel Ortamdan Erişilmesi Veya Fiziksel Ortamda Muhafaza Edilmesi Durumunda Özel Nitelikli Kişisel Verilere Yönelik Önlemler
  • Özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemleri (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alınmaktadır.
  • Bu ortamların fiziksel güvenliği sağlanarak yetkisiz giriş çıkışlar engellenmektedir.
    • Özel Nitelikli Kişisel Verilerin Aktarılmasına Yönelik Önlemler
  • Özel nitelikli kişisel verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılması sağlanmaktadır.
  • Özel nitelikli kişisel verilerin Taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmesi ve kriptografik anahtarın farklı ortamda tutulması sağlanmaktadır.
  • Özel nitelikli kişisel verileri farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımının gerçekleştirilmesi sağlanmaktadır.
  • Özel nitelikli kişisel verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınması ve evrakın “gizlilik dereceli belgeler” formatında gönderilmesi sağlanmaktadır.
    • Özel Nitelikli Kişisel Verilerin İşlenmesine, Muhafazasına, Aktarımına, Güvenliğine ve Korunmasına Yönelik Önlemler
  • Genel olarak kişisel verilerin işlenmesinde, muhafazasında, aktarımında, güvenliğinde ve korunmasında Kişisel Veri Güvenliği Rehberinde yer alan ve uygulanması gereken idari ve teknik tüm tedbirler, aynı zamanda özel nitelikli kişisel veriler için de uygulanmaktadır.

3. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ VE AKTARIMI

özelniteliklikişiselverileri, Kanun ve Politika’dabelirlenenilkelere uygun, Kurul’unbelirlediğiyöntemlerlegereklihertürlüidari ve teknikönlemlerialarak, aşağıdaki hallerde işler ve yine aşağıdaki hallerin bulunması halinde yeterli önlemleri de almak kaydıyla aktarabilir:

  1. İlgili kişinin açık rızasının olması,
  2. Kanunlarda açıkça öngörülmesi,
  3. Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
  4. İlgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması,
  5. Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,
  6. Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması,
  7. İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması,
  8. Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması.

4. YÜRÜRLÜK VE İLANI

Politika imzalanması tarihi itibariyle yürürlüğe girmiştir.Politika’da meydana gelecek değişiklikler’in internetsitesinde()yayımlanarakkişiselverisahiplerinin, ilgilikişilerin erişiminesunulur. Politika değişiklikleri ilan edildiği tarihte uygulamaya girer.