Özel Nitelikli Kişisel Veri İşleme

GİRİŞ

1.1. Amaç

Kişisel verilerin korunması, Aydem Holding A.Ş. (“Şirket””) en önemli öncelikleri arasında olup, bu hususta yürürlükte bulunan tüm mevzuata uygun davranmak için azami gayret göstermektedir. 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”); kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerini “Özel Nitelikli Kişisel Veri” olarak sınıflandırarak bu verilere özel bir önem atfetmekte ve bu verilerin yükseltilmiş bir güvenlik standardı ile korunması konusunda veri sorumlularını yükümlü kılmaktadır.

Aydem Holding bünyesinde yer alan grup şirketlerinin her biri işbu Politika hükümlerine tabidir.

İşbu Şirket Özel Nitelikli Kişisel Veri İşleme Politikası (“Politika”) çerçevesinde Şirketimiz tarafından gerçekleştirilen Özel Nitelikli Kişisel Veri işleme faaliyetlerinin yürütülmesinde benimsenen ilkeler ve Özel Nitelikli Kişisel Veri işleme faaliyetleri esnasında Şirket tarafından alınacak asgari veri güvenliği önlemleri belirlenmektedir.

 

1.2. Kapsam

İşbu Politika, Kanun kapsamında tanımlanan kimliği belirli veya belirlenebilir gerçek kişilere ait, otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla Şirket bünyesinde işlenen Özel Nitelikli Kişisel Verilere ilişkindir.

 

2. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN HUSUSLAR

2.1. Özel Nitelikli Kişisel Verileri İşlenmesi Esnasında Uyulacak Genel İlkeler

Şirketimiz Özel Nitelikli Kişisel Verileri, Kanun’da ve ilgili diğer mevzuatlarda öngörülen usul ve esaslara uygun olarak işlenmektedir. Bu doğrultuda Şirketimiz Özel Nitelikli Kişisel Verileri işlediği süreçlerde aşağıda listelenen ilkelere (“Genel İlkeler”) uygun hareket etmektedir.

Şirketimiz Özel Nitelikli Kişisel Verileri;

(i) Hukuka ve dürüstlük kurallarına uygun,

(ii) Doğru ve gerektiğinde güncel biçimde,

(iii) Belirli, açık ve meşru amaçlar için,

(iv) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olarak,

(v) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar işlemektedir.

 

2.2. Özel Nitelikli Kişisel Verilerin İşlenmesi Şartları

Kanunda Özel Nitelikli Kişisel Veriler ayrıca ve sınırlı olarak sayılmış olup hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine sebep olma veya ayrımcılığa maruz kalma riski nedeniyle, bu verilere özel önem atfedilmiştir.

Özel Nitelikli Kişisel Veriler, Şirketimiz tarafından, işbu Politika’da belirtilen ilkelere uygun olarak ve Kişisel Verileri Koruma Kurulu’nun (“Kurul”) belirlediği ya da belirleyeceği asgari güvenlik önlemleri dahil olmak üzere gerekli her türlü idari ve teknik tedbirler alınarak ve aşağıdaki şartlardan en az birinin varlığı halinde işlenmektedir.

a) İlgili kişinin açık rızasının olması,

b) Kanunlarda açıkça öngörülmesi,

c) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,

ç) İlgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması,

d) Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,

e) Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması,

f) İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması,

g) Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması.

 

3. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN AKTARILMASINA İLİŞKİN HUSUSLAR

Şirketimiz hukuka uygun olan Özel Nitelikli Kişisel Veri işleme amaçları doğrultusunda gerekli güvenlik önlemlerini alarak Özel Nitelikli Kişisel Verileri üçüncü kişilere (“Üçüncü Kişiler”) aktarabilmektedir. Şirketimiz, bu doğrultuda Kanun’un 8’inci ve 9’uncu maddesinde öngörülen düzenlemelere uygun hareket etmektedir.

 

4. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN ELDE EDİLMESİ ESNASINDA İLGİLİ KİŞİLERİN AYDINLATILMASI

Kanun’un 10 uncu maddesine göre; kişisel verilerin elde edilmesi sırasında veri sorumluları veya yetkilendirdiği kişilerce ilgili kişilerin bilgilendirilmesi gerekmektedir. Şirketimiz ilgili kişilere yönelik aydınlatma yükümlülüğünü yerine getirirken asgari olarak aşağıdaki konular hakkında ilgili kişileri bilgilendirmektedir:

(i) Veri sorumlusunun ve varsa temsilcisinin kimliği,

(ii) Kişisel verilerin hangi amaçla işleneceği,

(iii) Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,

(iv) Kişisel veri toplamanın yöntemi ve hukuki sebebi,

(v) Kanun’un 11 inci maddede sayılan ve ilgili kişilere tanınmış olan haklar ve bu hakların ne şekilde kullanılabileceği.

Alternatif yöntem ve metotların benimsendiği haller hariç, Şirket tarafından aydınlatma yükümlülüğünün yerine getirilmesi için ilgili kişilere fiziksel ya da elektronik ortamda, sonradan kanıtlanabilir şekilde sunulan aydınlatma metinleri kullanılmaktadır. Özel Nitelikli Kişisel Verilerin işlendiği süreçlerde görev alan Şirket çalışanları, kişisel verilerin elde edilmesi öncesinde ilgili kişilere gerekli aydınlatma metinlerinin sunulduğu ve ilgili kişilerin bilgilendirildiğinden emin olmalıdır.

 

5. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN SAKLANMASI VE İMHASI

Kanun’un 7’nci maddesinde düzenlenen kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi yükümlülüğü gereği, Şirketimiz tarafından Kanun ve diğer mevzuat hükümlerine uygun olarak işlenmiş olmasına rağmen işlenmesini gerektiren sebeplerin ortadan kalkması halinde Özel Nitelikli Kişisel Veriler dahil tüm kişisel veriler, Şirketimizin re’sen vermiş olduğu karara veya kişisel İlgili Kişinin talebine istinaden silinir, yok edilir veya anonim hale getirilir.

 

6. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN GÜVENLİĞİNİN VE GİZLİLİĞİNİN SAĞLANMASI

Şirketimiz tarafından Özel Nitelikli Kişisel Verilerin hukuka aykırı olarak açıklanmasını, erişimini, aktarılmasını veya başka şekillerde meydana gelebilecek güvenlik eksikliklerini önlemek için, imkanlar dahilinde, korunacak verinin niteliğine göre gerekli her türlü tedbir alınmaktadır.

Bu kapsamda Şirketimiz tarafından gerekli her türlü idari ve teknik tedbirler alınmakta; ilgili tedbirler güncel Kurul kararlarına uygun şekilde gözden geçirilip güncellenmekte ve kişisel verilerin kanuni olmayan yollarla ifşası durumunda Kanun’da öngörülen tedbirlere uygun olarak hareket edilmektedir.

Bu bölümde ifade edilen veri güvenliği önlemleri, Özel Nitelikli Kişisel Verilerin işlenmesi esnasında Şirket tarafından alınacak asgari önlemlerdir. Bu önlemler, Kurul’un 31/01/2018 Tarihli ve 2018/10 Sayılı "Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler" ile ilgili Kararı’na uygun şekilde belirlenmiştir1 ve Kurul tarafından bu konuda yayınlanan yeni kararlar olması halinde güncelleneceklerdir.

Şirket’in halihazırda diğer süreçlerinde aldığı standart teknik ve idari veri güvenliği önlemleri, Özel Nitelikli Kişisel Verilerin işlendiği süreçler açısından uygun olduğu ölçüde alınmaya devam edilecektir.

 

6.1. Özel Nitelikli Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak ve Özel Nitelikli Kişisel Verilere Hukuka Aykırı Erişilmesini Önlemek için Şirketimiz Tarafından Alınan İdari Tedbirler

(i) Şirketimiz nezdinde Özel Nitelikli Kişisel Verilere yönelik olarak meydana gelebilecek riskler belirlenmiş ve bunlara karşı alınması gereken önlemler tespit edilmiştir,

(ii) Şirketimiz Özel Nitelikli Kişisel Verilerin işlenmesi ve korunmasına ilişkin olarak çalışanlarını eğitmekte, bilinçlendirilmelerini sağlamakta ve onlara yönelik farkındalık çalışmaları yapmaktadır.

(iii) Özel Nitelikli Kişisel Verilerin güvenliğini sağlamak amacıyla bu verilere erişen çalışanlarla Çalışan Gizlilik Taahhütnamesi imzalanmaktadır.

(iv) Çalışanların Özel Nitelikli Kişisel Verilere erişimlerinin kapsamı ve süresi sınırlandırılmaktadır.

(v) Periyodik olarak yetki kontrolleri gerçekleştirilmektedir.

(vi) Görev değişikliği olan veya işten ayrılan çalışanların erişim yetkileri derhal kaldırılmaktadır. Bu kapsamda kendilerine tahsis edilen envanter iade alınmaktadır.

 

6.2. Özel Nitelikli Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak ve Özel Nitelikli Kişisel Verilere Hukuka Aykırı Erişilmesini Önlemek için Şirketimiz Tarafından Alınan Teknik Tedbirler

Özel Nitelikli Kişiler Verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise;

(i) Şirketimiz Özel Nitelikli Kişiler Verileri kriptografik yöntemler kullanarak muhafaza etmektedir.

(ii) Kriptografik anahtarlar güvenli ve farklı ortamlarda tutulmaktadır.

(iii) Özel Nitelikli Kişisel Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtları güvenli olarak loglanmaktadır.

(iv) Özel Nitelikli Kişisel Verilerin bulunduğu ortamlara ait güvenlik güncellemeleri sürekli takip edilmektedir, gerekli güvenlik testleri düzenli olarak yapılmakta/yaptırılmaktadır, test sonuçları kayıt altına alınmaktadır.

(v) Özel Nitelikli Kişisel Verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmeleri yapılmaktadır, gerekli güvenlik testleri düzenli olarak yapılmakta/yaptırılmaktadır, test sonuçları kayıt altına alınmaktadır.

(vi) Özel Nitelikli Kişisel Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sistemi sağlanmaktadır.

Özel Nitelikli Kişiler Verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise;

(i) Özel Nitelikli Kişisel Verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alındığından emin olunmaktadır.

(ii) Bu ortamların fiziksel güvenliği sağlanarak yetkisiz giriş çıkışlar engellenmektedir.

 

6.3. Özel Nitelikli Kişisel Verilerin Hukuka Uygun Aktarımını Sağlamak için Şirketimiz Tarafından Alınan Tedbirler

(i) Şirketimiz, Özel Nitelikli Kişisel Verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanarak aktarmaktadır.

(ii) Taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmektedir ve kriptografik anahtar farklı ortamda tutulmaktadır.

(iii) Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımı gerçekleştirilmektedir.

(iv) Özel Nitelikli Kişisel Verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınmaktadır ve evrak “gizlilik dereceli belgeler” formatında gönderilmektedir.

 

6.4. Özel Nitelikli Kişisel Verilerin Kanuni Olmayan Yollarla İfşası Durumunda Alınacak Tedbirler

Şirketimiz tarafından yürütülen Özel Nitelikli Kişisel Veri işleme faaliyeti kapsamında, Özel Nitelikli Kişisel Verilerin hukuka aykırı olarak yetkisiz kimseler tarafından elde edilmesi durumunda, durum Kurul’un 24.01.2019 tarih ve 2019/10 sayılı kararına2 uygun biçimde Kurul’a en geç 72 (yetmiş iki) saat içerisinde bildirilecek ve ihlalden etkilenen ilgili kişilere mümkün olan en kısa süre içerisinde bilgilendirme yapılacaktır.

 

7. EK 1 – Tanımlar

Açık Rıza : Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza anlamına gelmektedir.

İlgili Kişi : Kişisel verisi işlenen gerçek kişi anlamına gelmektedir.

Kişisel Veri

Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi anlamına gelmektedir (örn. ad-soyad, TCKN, e-posta, adres, doğum tarihi, kredi kartı numarası). Dolayısıyla tüzel kişilere ilişkin bilgilerin işlenmesi Kanunu kapsamında değildir.

Özel Nitelikli Kişisel Veri

Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler anlamına gelmektedir.

Kişisel Verilerin

İşlenmesi : Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem anlamına gelmektedir.

Veri Sorumlusu

Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi anlamına gelmektedir.

Kayıtlı Elektronik Posta

(KEP) Adresi : Elektronik iletilerin, gönderimi ve teslimatı da dahil olmak üzere kullanımına ilişkin olarak hukuki delil sağlayan, elektronik postanın nitelikli şeklini ifade etmektedir.

Mobil İmza : Mobil bir cihaz kullanılarak oluşturulan elektronik imzayı ifade etmektedir.

Güvenli Elektronik İmza : Münhasıran imza sahibine bağlı olan, sadece imza sahibinin tasarrufunda bulunan güvenli elektronik imza oluşturma aracı ile oluşturulan, nitelikli elektronik sertifikaya dayanarak imza sahibinin kimliğinin tespitini sağlayan, imzalanmış, elektronik veride sonradan herhangi bir değişiklik yapılıp yapılmadığının tespitini sağlayan elektronik imzayı ifade etmektedir.