1.AMAÇ: Bu prosedürün amacı  6698 Sayılı Kişisel Verilen Korunması Kanunu gereği  firmamızda yürütülen Bilgi Güvenliği Sistemi içinde yazılı ve elektronik ortamda bulunan bütün kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak,  firmamızda kişisel verilerin işlenmesi kapsamında görevlendirmeleri tanımlamak ve bu görevlendirmeler doğrultusunda uyulması gereken yasal yükümlülükleri, usul ve esasları belirlemektir.

2.KAPSAM:     Bu prosedür bütün birimleri kapsar.

  1. TANIMLAR:

KVKK: Kişisel Verilen Korunması Kanunu

BGYS: Bilgi Güvenliği Yönetim Sistemi

AÇIK RIZA: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.

ANONİM HÂLE GETİRME: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli       veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi.

İLGİLİ KİŞİ: Kişisel verisi işlenen gerçek kişi.

KİŞİSEL VERİ: Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir. Bu tanım gereği bir gerçek kişinin belirli olmasını veya belirlenebilmesini sağlayan ve belirli veya belirlenebilir olan bir gerçek kişiye ait her türlü bilgidir. (KVKK md.3/d)

KİŞİSEL VERİLERİN İŞLENMESİ: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.

VERİ İŞLEYEN: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen kişi.

VERİ KAYIT SİSTEMİ: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi.

VERİ SORUMLUSU: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan kişi,

 KURUL: Kişisel Verileri Koruma Kurulu,

  1. İŞLEM:

4.1. Firmamız tarafından,  6698 Sayılı Kişisel Verilen Korunması Kanunu gereği  firmamızda yürütülen Bilgi Güvenliği Yönetim Sistemi içinde yazılı ve elektronik ortamda bulunan kişisel verilerle birlikte firmamıza ait bütün bilgilerin bütünlüğünün sağlanması, korunması, muhafazası, erişilmesi ve bütün kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerin korunması,  firmamızda kişisel verilerin işlenmesi kapsamında görevlendirmelerin tanımlanması ve bu görevlendirmeler doğrultusunda uyulması gereken yasal yükümlülüklerin, usul ve esasların belirlenmesi için uluslararası uygulanan Bilgi Güvenliği Yönetim Sistemi (BGYS) standardına göre  bir sistem kurulmuş ve uygulamaya konulmuştur.

4.2. Özellikle bu prosedürde kişisel verilerin  belirlenmesi, toplanması, işlenmesi, aktarılması, imhası, alenileştirilmesi gibi 6698 Sayılı kanun kapsamında talep edilen işlemler tanımlanmıştır.

Yine bu  6698 Sayılı kanun kapsamında kişisel verilerle ilgili alınması gereken fiziki ve idari tedbirler firmamızda uygulanan Bilgi Güvenliği Yönetim Sistemi (BGYS) içinde tanımlanmıştır.

4.3. Kişisel veriler

 Kanununda da tanımlandığı üzere kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her

türlü bilgidir. Firmamızda da kimliği belirli veya belirlenebilen bütün  gerçek kişilerle ilgili her türlü bilgi

BGYS kapsamında  tanımlanmıştır.

4.4. Kişisel verilerin toplanması ve sınıflandırılması

Firmamızda tanımlanmış olan kişisel veriler aşağıda tanımlandığı şekilde toplanmaktadır:

4.4.1. Şirketimizde çalışanların iş başvuruları ve yapılan hizmet sözleşmesi gereği gerekli olan ve özel

nitelikli kişisel bilgi olmayan (6698 Sayılı Kanun,Md.6) bilgiler olarak toplanır. Bu bilgiler İş Kanunu, SGK ve Genel Sağlık Kanunu, Vergi Kanunu ve İş Sağlığı ve Güvenliği Kanunu ile mevzuatı gereğince toplanması gereken ve sahip olunması gereken bilgilerdir.

4.4.2. Şirket çalışanlarının işe başlamaları için gereken sağlık raporları ve  sağlık sorunları ile sağlık kuruluşlarına müracaat ve tedavileri sonucu işyerine ibraz edilen sağlık kuruluşu raporları nedeniyle toplanan sağlık bilgileri.

4.4.3. Şirketimizin tedarik anlaşmaları gereğince iş yaptığı gerçek kişiler ile tüzel kişilere ait şirket temsilcilerine ait sözleşme gereği alınan, toplanan kişisel veriler.

4.4.4 Şirketimizin satış ve pazarlama faaliyetleri sebebi ile hukuki işlem tesis edilen gerçek kişilere ait kişisel veriler ile tüzel kişi temsilcisine ait kişisel veri bilgileri, işin niteliğine ve gereğine uygun veriler.

4.4.5 Firmamızda kişisel verilerin sınıflandırılması ise yine yasal mevzuat çerçevesinde şu şekilde yapılmıştır;

  • Kişisel veriler 6698 Sayılı Kanun, Md.6 da sıralanan özel nitelikli kişisel veriler ile bu veriler

dışında kalan kişisel veriler olarak ilk sınıflandırma  kanunla yapılmıştır

  • 6698 Sayılı Kanunun 4. Md. Kapsamında toplanan kişisel veriler:
    • Çalışanların verileri,
    • Bağlam kuruluşlara ait kişisel veriler,
    • Satış,Pazarlama departman kişisel verileri,
    • Tedarik sözleşmeleri departman kişisel verileri,
    • Kanunen şirketimizle bağlantılı kamu kuruluşları temsilcilerinin varsa kişisel bilgileri şeklinde ikinci sınıflandırma yapılmıştır.

4.4.6. Ayrıca BGYS kapsamında ,kişisel veriler  sınıflandırma, derecelendirme ve gruplandırma işlemine  tabi tutulmuş; gizlilik, bütünlük ve erişilebilirlik gibi açılardan değerlendirilerek verilerin işlenmesi, aktarılması, korunması gibi konularda tedbirlerin alınması sağlanmıştır.

4.5. Kişisel  Verilerin İşlenmesi

Firmamızda kişisel veriler, yasalarda  öngörülen usul ve esaslara uygun olarak işlenir. Kişisel verilerin

işlenmesinde aşağıdaki ilkelere uyulur:

  1. a) Hukuka ve dürüstlük kurallarına uygunluk.
  2. b) Verilerin doğruluğu ve güncelliğinin sağlanması.
  3. c) Belirli, açık ve meşru amaçlar için işlenmesi.

ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması.

  1. d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi.

4.6.  Kişisel verilerin işlenme şartları

Firmamızda kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel veriler işlenebilir:

  1. a) Kanunlarda açıkça öngörülmesi.
  2. b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
  3. c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.

ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.

  1. d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
  2. e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
  3. f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

4.7.  Özel nitelikli kişisel verilerin işlenme şartları

4.7.1. Firmamızda özel nitelikli kişisel veriler ; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri gibi verler  özel nitelikli kişisel veriler olarak tanımlanmıştır.

4.7.2. Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.

4.7.3. Bu verilerden 4.3.1. maddesinde belirtilen sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir.

4.7.4. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

4.7.5. Firmamızda özel nitelikli kişisel verilerin işlenmesinde alınacak yeterli ve gerekli tedbirler BGYS kapsamında tanımlanmıştır.

4.8. Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesi

4.8.1. Firmamızda kişisel veriler, bu kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından; verinin bulunduğu ortama göre (yazılı ortam veya elektronik ortama göre), 6698 Sayılı Kişisel Verilen Korunması Kanunu , 28 Ekim 2017  tarihli, günü tarihli ve  30224 sayılı Resmî Gazetede yayınlanan Kişisel verilerin silinmesine, yok edilmesine veya anonim hâle getirilmesine ilişkin usul ve esaslar yönetmeği  ve  firmamızda uygulanan  BGYS siteminde tanımlanan verilerin silinmesi, imha edilmesi ve anonim hale getirilmesi  sistemine göre  veriler;  verilir silinir, yok edilir veya anonim hâle getirilir. 

4.9. Kişisel verilerin aktarılması

4.9.1. Firmamız BGYS sitemine göre kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz.

4.9.2. Kişisel veriler; aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin aktarılması mümkündür:

  1. a) Kanunlarda açıkça öngörülmesi.
  2. b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
  3. c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin aktarılmasının gerekli olması.

ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.

  1. d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
  2. e) Bir hakkın tesisi, kullanılması veya korunması için veri aktarımının zorunlu olması.
  3. f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri aktarımının zorunlu olması. 

4.9.3. Firmamızda  kişisel verilerin aktarılmasına ilişkin ilgili bütün yasal şartlar dikkate alınarak, BGYS  sisteminde tanımlanan gerekli önlemler alınarak aşağıda belirtilen şartlardan birinin bulunması hâlinde, ilgili kişinin açık rızası aranmaksızın aktarılır:

Sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın aktarılabilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın aktarılır.

4.9.4. Kişisel verilerin yurt dışına aktarılması

Firmamızda kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz. Ancak, kişisel verinin aktarılacağı yabancı ülkede; yeterli korumanın bulunması veya yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve kurulun izninin bulunması kaydıyla  ve  aşağıdaki şartlardan birisinin olması durumunda kişisel veriler, ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir:

  1. a) Kanunlarda açıkça öngörülmesi.
  2. b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
  3. c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin aktarılmasının gerekli olması.

ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.

  1. d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
  2. e) Bir hakkın tesisi, kullanılması veya korunması için veri aktarımının zorunlu olması.
  3. f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri aktarımının zorunlu olması,
  4. g) Sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılır. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın yurt dışına aktarılır.

 4.9.5 Firmamız çalışanlarına ait kişisel veriler, ülkemizin yasal bütün mevzuatları dikkate alınarak, uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurulun izniyle yurt dışına aktarılabilir.

4.10. Haklar ve Yükümlülükler

4.10.1. Firmamızda kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere firmamızca hazırlanmış Kişisel Verilerin İşlenmesi Hakkında Aydınlatma Metni ile aşağıdaki

konularda bilgi vererek aydınlatmakla  yükümlüdür  ;

  1. a) Veri sorumlusunun ve varsa temsilcisinin kimliği,
  2. b) Kişisel verilerin hangi amaçla işleneceği,
  3. c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,

ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi,

  1. d) 6.2. maddesinde belirtilen hakları,

4.10.2. Firmamızda her çalışan, veri sorumlusuna başvurarak kendisiyle ilgili aşağıdaki konularla ilgili bilgi alma hakkına sahiptir;

  1. a) Kişisel veri işlenip işlenmediğini öğrenme,
  2. b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
  3. c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,

ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,

  1. d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
  2. e) Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme,
  3. f) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesi ve kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesi durumunda yapılan bu işlemlerinkişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  4. g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,

ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme,

4.11. Veri güvenliğine ilişkin yükümlülükler

4.11.1. KVKK gereği şirketimiz veri sorumlusu olarak Kanunen muhatap ve veri sorumlusu kurumdur. Veri  sorumlusu olan şirketimizi Kişisel Verileri  Koruma Kurulu’na karşı temsil yetkilisi ve  şirketimizin aynı yönetmelik 11.md 4. Bendi gereği irtibat kişisinin atamaları  yapılmıştır.

 Bu kapsamda firmamızca atanmış olan veri sorumlusunun yükümlülükleri   BGYS-GRV-002 nolu Görev Yetki ve Sorumluluk dokümanında tanımlanmış olup, bu yükümlülükler  veri sorumlsusu tarafından eksiksiz  yerine getirilir.

4.11.2. Firmamız KVKK gereği veri sorumlusu olan şirketimizin kanunen belirlenen temsile yetkilisi ile temsilci tarafından belirlenen irtibat görevlisine aşağıdaki konularda bilgilendirilmeler yapılmıştır.

  • Kişisel verilerin neler olduğu ve grupları,
  • Kişisel verilerin nasıl toplanacağı,
  • Kişisel verilerin nasıl sınıflandırılacağı,
  • Kişisel verilerin nasıl işleneceği (Md.4,5,6)
  • Kişisel verilerin aktarılmasında esaslar (Md.8,9)
  • Aydınlatma yükümlülüğü (Md.10)
  • İlgili kişinin hakları (Md.11)
  • Veri güvenliğine ilişkin hükümler(Md.12)
  • Verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi(Md.7)
  • İlgili kişinin başvurusu, inceleme ve sonuçlandırılması (Md.15)
  • Kişisel verilerin korunmasında sorun ve ilgilisine ve kuruma bilgi verme,
  • Aydınlatma yükümlülüğü ve kapsamı ,
  • Kanundan kaynaklanan hukuki ve cezai sorumluluklar hakkında bilgi,

4.12. Başvuru, Şikâyet ve Veri Sorumluları Sicili

4.12.1. İlgili kişi tarafından, bu Kanunun uygulanmasıyla ilgili talepleri yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle veri sorumlusuna iletilir.

4.12.2. Veri sorumlusu tarafından  başvuruda yer alan talepler, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırılır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Kurulca belirlenen tarifedeki ücret alınır.

4.12.3. Veri sorumlusu tarafından  talep kabul edilir veya gerekçesi açıklanarak reddedilir. Ve cevabı ilgili kişiye yazılı olarak veya elektronik ortamda bildirilir. Başvuruda yer alan talebin kabul edilmesi hâlinde veri sorumlusunca gereği yerine getirilir. Başvurunun veri sorumlusunun hatasından kaynaklanması hâlinde alınan ücret ilgiliye iade edilir.

4.12.4. Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; ilgili kişi tarafından , veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabilir.

4.13.Kişisel verilere erişim

4.13.1. Kişisel  verilere erişim konusunda; hangi tedbirlerin alındığı, bilgilere kimlerin nasıl ve ulaşacağı,  nasıl bir yol izleneceği ve  nelerin yapılacağı firmamızda uygulanan BGYS kapsamında hazırlanan  güvenlik talimatlarında tanımlanmıştır.

4.14. Fiziki ve alt yapı tedbirleri

       4.14.1. Firmamızda gerek kişisel veriler gerekse firmamıza ait verilerin korunması, muhafazası, bu verilere

ulaşılabilmesi, değiştirilmesi, bütünlüğünün bozulması, yetkisiz kişilerce ele geçirilmesi ve amacı dışında kullanılması, imha edilmesi, sabote edilmesi, çalınması, deprem, sel, yangın gibi olaylara maruz        kalmasına karşılık  BGYS kapsamında tanımlandığı şekilde  gerekli tedbirler alınmıştır.

5 .SORUMLULUK: Bu prosedürdeki işlemlerin yürütülmesinden bütün birimler sorumludur.