2. KAPSAM
Kanunun 6 ncı maddesinin 4 üncü fıkrası ile veri sorumlularına ?özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması yükümlülüğü getirilmiştir.
Bu Politika, 07.03.2018 tarihli ve 30353 sayılı Resmi Gazete'de yayınlanan ?Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler"e ilişkin Kişisel Verileri Koruma Kurulu kararı gereği özel nitelikli kişisel verilerin işlenmesi ve güvenliğine yönelik süreçleri kapsamaktadır.
3. ÖZEL NİTELİKLİ VERİLERİN İŞLENMESİ UYGULAMA ESASLARI
Kanun'un 6. maddesinde, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski taşıyan bir takım kişisel veriler ?özel nitelikli kişisel veri" olarak belirlenmiştir.
Kanun'da ?özel nitelikli kişisel veriler" kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri olarak belirlenmiştir.
3.1. ÖZEL NITELIKLI KIŞISEL VERILERIN IŞLENMESI
Kanun ile ?özel nitelikli" olarak belirlenen kişisel verilerin işlenmesinde, Şirketimiz tarafından, Kanunda öngörülen düzenlemelere hassasiyetle uygun davranılmaktadır.
- Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler, ancak veri sahibinin açık rızası var ise işlenmektedir.
- Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen hallerde veya kişisel veri sahibinin açık rızası var ise işlenmektedir.
Özel Nitelikli Kişisel Verilere ilişkin İşlenme Şartları:
Verinin Niteliği |
İşlenme Şartı |
Örnek |
Sağlık ve Cinsel hayata ilişkin özel nitelikli kişisel veriler |
Veri Sahibinin açık rızasının alınmış olması |
İş Kanununda belirtilen doğum izni, çalışabilir/çalışamaz raporları, doğum raporu, emzirme izni dilekçelerinin değerlendirilmesi için ilgili kişinin açık rızasının alınması. |
Sağlık ve Cinsel hayat dışındaki özel nitelikli Kişisel Veri |
Veri Sahibinin açık rızasının alınmış olması veya Kanunlarda öngörülmüş olması (Vergi Kanunları, 4857 Sayılı İş Kanunu, Türk Ticaret Kanunu) |
4857 Sayılı İş Kanunu gereği çalışana ait adli sicil belgesinin özlük dosyasında bulunması gerekmektedir. |
Şirketimizde, çalışanlarımızın özel nitelikli kişisel verileri İnsan Kaynakları hizmetini yürüten birim tarafından işlenmektedir. Şirketimizin sözleşmesel veya ticari ilişki kurduğu kişilere veya bunların çalışanlarına/temsilcilerine ait kimlik belgelerinde yer alan özel nitelikli kişisel veriler işlenmektedir. Bu veriler:
- Sağlık raporunun elde edilmesine bağlı süreçlerin yürütülmesi,
- Tespit edilen sağlık durumuna göre pozisyon değişikliklerinin yapılması ve bu yolla çalışanların sağlığına uygun olan iş pozisyonlarının sağlanması,
- Diğer çalışanların sağlığını etkileyebilecek durumların varlığı halinde gecikmeksizin müdahale edilebilmesi,
- Mevzuat, ilgili düzenleyici kurumlar ve diğer otoritelerce öngörülen diğer bilgi saklama, raporlama, bilgilendirme yükümlülüklerine uymak,
- Personel özlük dosyasının oluşturulması,
Amaçlarına uygun olarak işlenmekte ve saklanmaktadır. Bu veriler:
- Kimlik belgelerinde yer alan özel nitelikli kişisel veriler,
- Laboratuar Tahlil Raporları,
- Doğum raporu,
- İstirahat ve iş göremezlik raporları,
- Psikoteknik rapor,
- Özürlülük raporu,
- SGK Raporu,
- SGK İzin Belgeleri,
- Kan Grubu Belgesi,
- İşe Giriş için Sağlık Raporu,
- Sivil Toplum Kuruluşu Üye Belgesi,
- Ek Sağlık Tarama Test Raporları (Laboratuvar Bulguları, Fiziki Muayene Sonuçları, Tıbbi Anamnez vs.),
- Kişisel Sağlık Bilgisi,
- Ceza Mahkumiyeti Verisi (Sabıka Kaydı)
3.2. ÖZEL NITELIKLI KIŞISEL VERILERIN GÜVENLIĞININ SAĞLANMASI
Şirketimizin özel nitelikli kişisel verilere ilişkin olarak veri sorumlusu sıfatıyla aşağıda belirtilen önlemleri alması esastır:
- A. Özel nitelikli kişisel verilerin güvenliğine işbu Politika belirlenmiştir.
- B. Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan Çalışan'lara yönelik,
- Kanun ve buna bağlı yönetmelikler ile Özel Nitelikli Kişisel Veri güvenliği konularında düzenli olarak eğitimler verilir,
- Gizlilik sözleşmeleri yapılır,
- Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamları ve süreleri tanımlanır,
- Periyodik olarak yetki kontrolleri gerçekleştirilir,
- Görev değişikliği olan ya da işten ayrılan Çalışanlar'ın bu alandaki yetkileri derhal kaldırılır.
- C. Özel Nitelikli Kişisel Verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise,
- Kişisel Veriler, kriptografik yöntemler kullanılarak muhafaza edilir,
- Kriptografik anahtarlar güvenli ve farklı ortamlarda tutulur,
- Kişisel Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtları güvenli olarak loglanır,
- Kişisel Veriler'in bulunduğu ortamlara ait güvenlik güncellemeleri sürekli takip edilir, gerekli güvenlik testleri düzenli olarak yapılır, test sonuçları kayıt altına alınır,
- Kişisel Veriler'e bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmeleri yapılır, bu yazılımların güvenlik testleri düzenli olarak yapılır, test sonuçları kayıt altına alınır,
- Kişisel Veriler'e uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sistemi sağlanır.
- D. Özel Nitelikli Kişisel Verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise;
- Özel Nitelikli Kişisel Veriler'in bulunduğu ortamın niteliğine göre yeterli güvenlik önlemleri (Elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alınır,
- Bu ortamların fiziksel güvenliğinin sağlanarak yetkisiz giriş çıkışlar engellenir.
- E. Özel Nitelikli Kişisel Veriler aktarılacaksa
- Kişisel Verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle aktarılır,
- Taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenir ve kriptografik anahtar farklı ortamda tutulur,
- Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya FTP yöntemiyle veri aktarımı gerçekleştirilir,
- Kişisel Veriler'in kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınır ve evrak "Gizli " formatta gönderilir.
- F. Yukarıda belirtilen önlemlerin yanı sıra Kişisel Verilerin Korunmasına Yönelik genel politikamızda belirtilen teknik ve idari tedbirler de uygulanmaktadır.