ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ POLİTİKASI
AMAÇ
Bu Politika, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) 10 uncu maddesi ile Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ uyarınca veri sorumlusu sıfatıyla Psk.Pınar Çakır Ataman ve Psk. Dença Kiristopuryan tarafından, bu Politika’nın dayanağı yasal Mevzuat’a uygun olarak özel nitelikli kişisel verilerin işlenmesine yönelik usul ve esasları belirlemek amacı ile oluşturulmuştur.
KAPSAM
Bu Politika, Psk.Pınar Çakır Ataman ve Psk. Dença Kiristopuryan’a özel nitelikli kişisel verilerin işlenmesi süreçlerini kapsamaktadır.
Yukarıda belirtilen ilgili kişi gruplarına, bu Politika’nın tamamı uygulanabileceği gibi, sadece birtakım hükümleri de uygulanabilecektir.
DAYANAK
Bu Politika 6698 sayılı Kişisel Verilerin Korunması Kanunu, 30286 sayılı Veri Sorumluları Sicili Hakkında Yönetmelik ve 30224 sayılı Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik ve “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” başlıklı Kurul kararına dayanılarak hazırlanmıştır.
Kişisel verilerin işlenmesi, korunması ve imhası konusunda bu Politika ile yürürlükte bulunan mevzuat arasında farklılık bulunması halinde Mevzuat hükümleri öncelikle uygulanacaktır.
ÖZEL NİTELİKLİ KİŞİSEL VERİLERİ NELERDİR?
Özel nitelikli kişisel veriler kanunda “Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler” olarak tanımlanmıştır.
Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.
ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLEME ŞARTLARI NELERDİR?
Özel nitelikli kişisel verilerin, işlenmesinde genel kural veri sahibi ilgili kişinin açık rızasının alınmasıdır. Açık rızanın alınma usul ve esaslarına ilişkin detaylı bilgiyi “KVKK Açık Rıza Alma Prosedürü”nde bulabilirsiniz.
Özel nitelikli kişisel verilerin açık rıza olmaksızın işlenebileceği bir takım istisnalar da bulunmaktadır. Özel nitelikli kişisel veri kategorilerinden sağlık ve cinsel hayat dışındaki veriler, açık rıza olmaksızın yalnızca kanunlarda öngörülen hallerde işlenebilir.
Özel nitelikli kişisel veri kategorilerinden cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
ÖZEL NİTELİKLİ KİŞİSEL İŞLENMESİNDE ALINMIŞ TEKNİK VE İDARİ TEDBİRLER
Psk.Pınar Çakır Ataman ve Psk. Dença Kiristopuryan özel nitelikli kişisel verilerin hukuka ve dürüstlük kurallarına uygun bir şekilde işlenmesini ve imha edilmesini sağlamak amacıyla tüm gerekli teknik ve idari tedbirleri almaktadır. İşbu politikada değinilen tedbirler yalnızca özel nitelikli verilerin gizliliği ve güvenliğine ilişkin alınmış ek tedbirler olup kişisel verilerin güvenliğine tüm tedbirlere “Kişisel Verileri Saklama ve İmha Politikası” üzerinden ulaşabilirsiniz.
Verilerin Elde Edilmesinde Uyulacak Tedbirler
a. Özel nitelikli kişisel veriler Kanun’un 6. maddesinde sayılan şartlar olmaksızın işlenmemesi,
b. Hem dijital hem fiziki veri olarak mevcut ve alınacak olan eski tip kimlik verilerinin yalnızca ön yüzünün alınması, hukuki zorunluluk olmadıkça arka yüzünün alınmaması, alınması halinde kan grubu ve din hanesinin maskelenmesi.
Çalışanlara Yönelik Tedbirler
a. Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilmesi,
b. Gizlilik sözleşmelerinin yapılması,
c. Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamlarının ve sürelerinin tanımlanması,
d. Periyodik olarak yetki kontrollerinin gerçekleştirilmesi,
e. Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerinin derhal kaldırılması. Bu kapsamda, veri sorumlusu tarafından kendisine tahsis edilen envanterin iade alınması.
Özel Nitelikli Kişisel Verilerin Bulunduğu Elektronik Ortamlara Yönelik Tedbirler
a. Verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmelerinin yapılması, bu yazılımların güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,
b. Dijital olarak alınacak olan eski tip kimlik verilerinin yalnızca ön yüzünün alınması, hukuki zorunluluk olmadıkça arka yüzünün alınmaması, alınması halinde kan grubu ve din hanesinin maskelenmesi
Özel Nitelikli Kişisel Verilerin Bulunduğu Fiziksel Ortamlara Yönelik Tedbirler
a. Özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alındığından emin olunması,
b. Bu ortamların fiziksel güvenliğinin sağlanarak yetkisiz giriş çıkışların engellenmesi,
Aktarıma Yönelik Tedbirler
a. Verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılması,
b. Taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmesi ve kriptografik anahtarın farklı ortamda tutulması,
c. Bakım onarım için yurtiçi ve yurtdışı servis sağlayıcılara gönderilen görüntüleme cihazları gönderilmeden önce cihazların içinde yer alan bellekler çıkarılmalı veya bellekler tümüyle yedeklendikten sonra silinmelidir.
d. Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımının gerçekleştirilmesi,
e. Verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınması ve evrakın “gizlilik dereceli belgeler” formatında gönderilmesi gerekir.
f. Tahlil ve tetkik sonuçları gibi hastaya ait kişisel sağlık verilerini içeren basılı materyal üzerinde gerekli kısmî kimliksizleştirme veya maskeleme tedbirlerinin uygulanması.
Çalışan Yükümlülükleri
a. Psk.Pınar Çakır Ataman ve Psk. Dença Kiristopuryan bünyesinde; bilinmeyen, refakatsiz veya başka bir şekilde yetkisiz bir kişiyi tespit ederseniz, derhal üstlerinizi bilgilendirin.
b. Ziyaretçilere kısıtlı alanlarda, ziyaretçilere her zaman yetkili bir çalışanın eşlik ettiğinden emin olun.
c. İş faaliyetlerinizi yürütürken Psk.Pınar Çakır Ataman ve Psk. Dença Kiristopuryan tarafından kontrol edilmeyen iletişim kanallarını kullanmayın.
d. Lütfen masalarınızı temiz tutun. Bilgi güvenliğini sürdürmek için, basılı tüm verilerinin iş alanınızda gözetimsiz bırakılmamasını sağlayın.
e. Veri içeren bir cihazın kaybolması durumunda (örn. Cep telefonları, dizüstü bilgisayarlar vb.) gecikme olmaksızın “Veri İhlali Formu(EK-1)”nu doldurarak konu hakkında yöneticinizi bilgilendirin.
f. Bu politikaya veya bilgi güvenliği amacına uygun olmadığından şüphelendiğiniz bir sistem veya işlem bulmanız durumunda, uygun önlemleri alabilmeleri için yöneticileri bilgilendirin.
g. Eğer uzaktan çalışıyorsanız; verilerin gizlilik ve güvenliğini sağlamak için ek önlemler almanız gerekebilir. Sorumluluklarınızdan emin değilseniz yöneticinizden yardım isteyin.
h. Lütfen kişisel verileri barındıran ortamların gereksiz yere açıkta bırakılmadığından emin olun.
Özel Nitelikli Kişisel Verilerin İmhası
ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İMHASINA İLİŞKİN TÜM BİLGİ VE PROSEDÜRLERE PSK.PINAR ÇAKIR ATAMAN VE PSK. DENÇA KİRİSTOPURYAN TARAFINDAN YAYINLANMIŞ OLAN “KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI” ÜZERİNDEN ULAŞABİLİRSİNİZ.
Güncelleme Tablosu
Bu Politika’da yapılan değişiklikler aşağıdaki tabloda yer almaktadır.
GÜNCELLEME TARİHİ GÜNCELLEMELERİN KAPSAMI
13.04.2023 Politika yayın tarihi