Yarına Hazırlık Enstitüsü
6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNU KAPSAMINDA KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI
BAŞLANGIÇ
1.1. GİRİŞ
Türkiye Cumhuriyeti Anayasası’na göre, herkes kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Anayasal nitelikteki bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Yarına Hazırlık Enstitüsü (“Enstitü”) işbu Politika ile, bünyesindeki kişisel verilerin hukuka uygun olarak işlenmesi ve korunması konusunda farkındalık oluşturmanın yanı sıra mevzuata uyum kapsamında gerekli düzeni kurmayı ve kişisel veriler bakımından hem hukuken hem de fiilen tam bir koruma sağlamayı hedeflemektedir.
Enstitü, hastalarının, çalışanlarının, çalışan adaylarının, internet sitesi ziyaretçilerinin, hasta ve danışanlarının ve bunlarla sınırlı olmamak üzere ilişkide olduğu diğer tüm üçüncü kişilerin kişisel verilerinin mevzuata uygun şekilde korunmasını işbu Politika ile güvence altına almayı amaçlamaktadır.
1.2. AMAÇ
Bu Politikanın amacı, Enstitü tarafından mevzuata uygun olarak yürütülen kişisel veri işleme ve saklama ilke ve prensiplerinin oluşturulması ve Yönetmelik’in 5. maddesi uyarınca, veri sorumlusu Enstitü tarafından, kişisel veri işleme envanterine uygun olarak kişisel veri saklama yükümlülüğünün yerine getirilmesidir. Enstitü, bu Politika ile veri işleme faaliyetleri kapsamında bağlı olduğu esasları ve ilkeleri düzenlemektedir.
Enstitü tarafından kişisel verilerin işlenmesi ve güvenliğinin sağlanması amacıyla yürütülen faaliyetler, alınan önlemler konusunda, kişisel verileri işlenen ilgili kişilerin en şeffaf şekilde bilgilendirilmesi hedeflenmektedir.
Enstitü, çalışanlarının, çalışan adaylarının, hastalarının, internet sitesi ziyaretçilerinin ilişkide olduğu diğer tüm üçüncü kişilerin aydınlatılması için bu Politika ile örtüşür şekilde, Enstitü internet sitesinde yazılı olan ve Enstitü içinde asılı olan ve aynı zamanda ilgili kişilere teslim edilen metin dikkate alınacaktır.
1.3. KAPSAM
Bu Politika, Enstitü tarafından mevzuata uygun olarak otomatik olan veya herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilere dair her türlü işleme ve kişisel verilerin güvenliği için alınan idari ve teknik önlemlere ilişkindir.
1.4. DAYANAK
Bu Politika, öncelikli olarak Türkiye Cumhuriyeti Anayasası, Kanun, Kişisel Verileri Koruma Kurumu tarafından yayımlanan ikincil mevzuat ve yürürlükte bulunan sair mevzuat dayanak alınarak hazırlanmıştır.
KİŞİSEL VERİLERİN İŞLENMESİ
2.1. KİŞİSEL VERİLERİN İŞLENMESİNDE UYGULANAN İLKELER
Enstitü, Kanun’un 4. Maddesi ile uyumlu olarak kişisel verileri işlemektedir.
2.1.1. Hukuka ve Dürüstlük Kurallarına Uygun Şekilde İşlenmesi
Bu ilke, kişisel verilerin işlenmesinde kanunlarla ve diğer hukuk düzenlemeleri ile getirilen ilkelere uygun hareket etme zorunluluğunu ifade etmektedir. Dürüstlük kuralına uygun olma ilkesi uyarınca Enstitü, veri işlemedeki hedeflerine ulaşmaya çalışırken, İlgili Kişilerin çıkarlarını ve makul beklentilerini dikkate almakta, İlgili Kişinin beklemediği ve beklemesinin de gerekmediği sonuçların ortaya çıkmasını önleyici şekilde hareket etmektedir. Bu ilke uyarınca İlgili Kişi için söz konusu veri işleme faaliyetlerinin şeffaf olmasına dikkat edilmekte ve veri işleme faaliyetleri öncesinde İlgili Kişiyi bilgilendirme ve uyarı yükümlülükleri yerine getirilmektedir. Enstitü veri işleme faaliyetleri sırasında ilgili kişinin çıkarlarını göz önüne almakta ve veri işleme faaliyetlerini hukuka ve dürüstlük kuralına uygun olarak yürütmektedir.
2.1.2. Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasının Sağlanması
Enstitü, işlediği verilerin doğru ve güncel olmasını sağlamak için gerekli tedbirleri almaktadır. Kişisel verilerin doğru ve güncel tutulabilmesini teminen; kişisel verilerin elde edildiği kaynaklar belirlenmekte, kişisel verilerin toplandığı kaynağın doğruluğu test edilmekte, kişisel verilerin doğru olmamasından kaynaklı talepler göz önünde bulundurulmakta ve bu kapsamda makul önlemler alınmaktadır.
2.1.3. Kişisel Verilerin Belirli, Açık ve Meşru Amaçlar İçin İşlenmesi
Enstitü, hukuka ve dürüstlük kuralına uygun olan kişisel veri işleme amacını açık, meşru ve İlgili Kişi tarafından anlaşılabilir olacak şekilde belirlemekte, kişisel veri işleme faaliyetlerinin hangi hukuki işleme şartına dayalı olarak gerçekleştirildiğini tespit etmektedir. Enstitü, kişisel veri işleme amaçlarını veri işleme faaliyeti başlamadan belirlemekte, İlgili Kişileri bilgilendirmekte ve İlgili Kişiye belirttikleri amaçlar dışında bir amaçla veri işlememektedir. Enstitü tarafından belirlenen veri işleme amaçları, yapılan iş ve sunulan hizmet ile bağlantılı ve bunlar için gerekli olma kriterini yerine getirecek şekilde belirlemektedir.
2.1.4. Kişisel Verilerin İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olması
Enstitü, kişisel verilerin işlenmesindeki meşru ve hukuka uygun amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan verilerin işlenmesinden kaçınmaktadır. Enstitü, sonradan ortaya çıkması muhtemel ihtiyaçların karşılanmasına yönelik olarak veri işlenmesi faaliyeti gerçekleştirmemektedir.
2.1.5. İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Edilmesi
Enstitü, Kanun’un 4. ve 7. maddelerine uygun olarak işlediği kişisel veriler için mevzuatta bir süre öngörülmüş ise bu süreyi tespit etmekte ve söz konusu kişisel verileri bu süreye riayet ederek muhafaza etmektedir. Mevzuatta herhangi bir süre öngörülmemişse kişisel veriler ancak işlendikleri amaç için gerekli olan süre kadar işlenmektedir. Bir verinin daha fazla saklanması için geçerli bir sebebin bulunmaması halinde, söz konusu veri silinmekte, yok edilmekte veya anonim hale getirilmektedir. Bu kapsamda, Enstitü gerekli idari ve teknik tedbirleri almakta, bu doğrultuda kişisel veri saklama ve imha politikası ve esaslarını oluşturmakta ve de kişisel verilerin bu esaslara uygun olarak muhafaza edilmesini sağlamaktadır. Sonradan tekrar kullanılabileceği düşünülerek ya da herhangi bir başka gerekçe ile Enstitü tarafından kişisel verilerin muhafaza edilmesi yoluna gidilmemektedir.
2.2. KİŞİSEL VERİLERİN İŞLENME ŞARTLARI
Enstitü, kişisel verileri sadece İlgili Kişinin açık rızası ile veya İlgili kişinin rızası aranmaksızın Kanun’un 5. ve 6. Maddesinde yer verilen şartlardan en az birinin gerçekleşmesi durumunda işlemektedir.
Buna göre Enstitü, kişisel verilerin işlenmesi için aşağıda sayılan şartlardan en az birinin varlığını aramaktadır.
2.2.1. Açık Rıza
Enstitü, kişisel veri işleme faaliyetinde bulunmak için öncelikli olarak Kanun’un 5. maddesinde sayılan şartlardan birini veya birkaçını aramaktadır. Bu şartların herhangi birinin bulunmaması ve kişisel veri işlemenin zorunlu olması halinde, Enstitü belirli konuya ilişkin, bilgilendirmeye dayalı, tereddüde yer bırakmayacak açıklıkta ve özgür irade ile açıklanmış Açık Rıza’ya dayanarak veri işleme faaliyetinde bulunmaktadır.
Kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde, aydınlatma yükümlülüğü ve açık rızanın alınması işlemleri ayrı ayrı yerine getirilmekte, gerektiği takdirde açık rıza elektronik ortam veya telefon gibi yollarla da alınabilmektedir.
2.2.2. Kanunlarda Açıkça Öngörülmesi
Kişisel veri işleme faaliyetine ilişkin kanunlarda açıkça düzenleme bulunması durumunda, Enstitü tarafından ilgili kanuni düzenleme ile sınırlı olarak kişisel veri işleme faaliyeti yürütülebilecektir. Örneğin; 4857 Sayılı İş Kanunu’nun işçi özlük dosyası ile ilgili 75. maddesi gereğince çalışanların verilerinin toplanması bu kapsamda değerlendirilmektedir.
2.2.3. Fiili İmkânsızlık
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması durumunda kişisel veriler Enstitü tarafından işlenebilecektir.
2.2.4. Sözleşmenin Kurulması ve İfası İçin Gerekli Olması
Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması durumunda kişisel veriler Enstitü tarafından işlenebilecektir.
2.2.5. Veri Sorumlusunun Hukuki Yükümlülüğünü Yerine Getirmesi İçin Zorunlu Olması
Enstitü, kişisel veri işleme faaliyetinin hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması durumunda, kişisel veri işleyebilecektir.
2.2.6. İlgili Kişinin Kişisel Verisinin Kendisi Tarafından Alenileştirilmesi
Enstitü, ilgili kişinin kendisi tarafından alenileştirilen eş deyişle, herhangi bir şekilde kamuoyuna açıklanmış olan, kişisel verileri işleyebilecektir. Ancak, söz konusu hukuka uygunluk sebebine dayanılabilmesi için alenileştirilme iradesinin varlığının bulunması aranmakta, kişisel verinin herkesin görebileceği bir yerde olması yeterli görülmemektedir. Ayrıca, alenileştirme durumunda da kişisel verileri amacı dışında kullanılmamaktadır.
2.2.7. Kişisel Verilerin İşlenmesinin Bir Hakkın Tesisi, Kullanılması veya Korunması İçin Zorunlu Olması
Kişisel veri işlenmesinin bir hakkın tesisi, kullanılması veya korunması için zorunlu olması durumunda kişisel veri işlenebilecektir.
2.2.8. İlgili Kişinin Temel Hak ve Özgürlüklerine Zarar Vermemek Kaydıyla, Veri Sorumlusunun Meşru Menfaatleri İçin Veri İşlenmesinin Zorunlu Olması
İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Enstitü, meşru menfaatleri için veri işlenmesinin zorunlu olması durumunda kişisel verileri işleyebilecektir. Bu şarta dayanılarak veri işlenebilmesi için Enstitü menfaati ile İlgili Kişinin temel hak ve özgürlükleri arasında makul bir denge kurularak bu suretle hüküm uygulanabilirliği değerlendirilmektedir.
2.3. KİŞİSEL VERİLERİN İŞLENME AMAÇLARI
Enstitü, psikolojik teşhis ve tedavi hizmetlerinin yürütülmesi için gerekli olan ve bu amaçla elde edilen kişisel sağlık verisi başta olmak üzere; toplanan kişisel verileri, Kanun’un 5. Maddesinin 2. Fıkrası ve 6. Maddesinin 3. fıkrasında belirtilen şartlar kapsamında, aşağıdaki amaçlarla işlemektedir;
- Kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi
- Hasta tedavi süreçlerinin yönetilmesi,
- Enstitüden daha önce hizmet almış olan hastanın, Enstitüdeki geçmişine hızla ulaşılması,
- Hastanın soruları olması halinde, Enstitüye gelmeksizin iletişim araçları ile Enstitüye ulaşabilmesi,
- Hastaya verilen hizmetin faturalandırılması,
- Acil Durum Yönetimi Süreçlerinin Yürütülmesi
- Bilgi Güvenliği Süreçlerinin Yürütülmesi
- Faaliyetlerin Mevzuata Uygun Yürütülmesi
- Finans ve Muhasebe İşlerinin Yürütülmesi
- Hizmet Satış Süreçlerinin Yürütülmesi
- Saklama ve Arşiv Faaliyetlerinin Yürütülmesi
- Sözleşme Süreçlerinin Yürütülmesi
- Talep / Şikayetlerin Takibi
- Yetkili Kişi, Kurum ve Kuruluşlara Bilgi Verilmesi
- İletişim Faaliyetlerinin Yürütülmesi
- Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi
- Veri Sorumlusu Operasyonlarının Güvenliğinin Temini
- Yönetim Faaliyetlerinin Yürütülmesi
- Fiziksel Mekan Güvenliğinin Temini
- Taşınır Mal ve Kaynakların Güvenliğinin Temini
- İş Faaliyetlerinin Yürütülmesi / Denetimi
- Ücret Politikasının Yürütülmesi
- Çalışanlar İçin İş Akdi ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi
- Çalışanlar İçin Yan Haklar ve Menfaatleri Süreçlerinin Yürütülmesi
- İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi
- İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi
- Görevlendirme Süreçlerinin Yürütülmesi
- İç Denetim/ Soruşturma / İstihbarat Faaliyetlerinin Yürütülmesi
- Denetim / Etik Faaliyetlerinin Yürütülmesi
- Erişim Yetkilerinin Yürütülmesi
- Yetenek / Kariyer Gelişimi Faaliyetlerinin Yürütülmesi
- İş Süreçlerinin İyileştirilmesine Yönelik Önerilerin Alınması Ve Değerlendirilmesi
- Hizmet Satın Alım Süreçlerinin Yürütülmesi
- Çalışan Adayı Seçme ve Yerleştirme Süreçlerinin Yürütülmesi
- Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi
- Makul Süre İçerisinde İşe Alım Maksadıyla İletişime Geçilmesi
- Çalışan Memnuniyeti ve Bağlılığı Süreçlerinin Yürütülmesi
- Seans Süreçlerinin Planlanması ve Koordine Edilmesi.
KİŞİSEL VERİLERİN AKTARILMASI
Enstitü, sınırlı ve hukuka uygun olarak, gerekli güvenlik önlemlerini almak kaydıyla, ilgili kişinin kişisel verilerini Kanun tarafından izin verilen şartlarda veya ilgili kişinin açık rızası ile üçüncü kişilere aktarabilmektedir. Enstitü, kişisel verilerin aktarılmasında kişisel verinin işlenmesi amaçları doğrultusunda, hukuka ve dürüstlük kurallarına uygun olarak hareket etmektedir.
3.1. KİŞİSEL VERİLERİN YURTİÇİNDE AKTARILMASI
Enstitü, meşru ve hukuka uygun kişisel veri işleme amaçları çerçevesinde, Kanun’un 8. Maddesi gereğince, Kanunun 5. maddesinde düzenlenmiş olan ve işbu Politikada yer alan kişisel veri işleme şartlarına uygun şekilde kişisel verileri yurtiçindeki üçüncü kişilere aktarabilmektedir. İlgili aktarım halleri ilgili kişilere özel olarak hazırlanan Aydınlatma Metinleri’nde düzenlenmiştir.
3.2. KİŞİSEL VERİLERİN YURTDIŞINA AKTARILMASI
Enstitü tarafından, Kanun’un 9. maddesi gereğince kişisel veriler açık rıza ile ya da işbu Politikada yer alan kişisel veri işleme şartlarına uygun olarak ve aktarım yapılacak ülkenin Kurul tarafından ilan edilen yeterli korumaya sahip ülkelerden olması veya ilgili yabancı ülkede yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması şartı ile yurtdışına aktarılabilmektedir.
3.3. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN AKTARILMASI
Enstitü, Özel Nitelikli Kişisel Verilerin Korunması Politikasında da belirlendiği üzere, özel nitelikli kişisel verileri, Kurum tarafından belirlenecek olan yeterli önlemlerin alınması şartıyla ve sadece aşağıdaki durumlarda aktarılabilir;
- İlgilinin açık rızası varsa veya
- Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler ilgili kişinin açık rızası aranmaksızın kanunlarda öngörülen hâllerde,
- Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgili kişinin açık rızası aranmaksızın aktarılabilir.
3.4. KİŞİSEL VERİLERİN AKTARILDIĞI ÜÇÜNCÜ KİŞİLER VE AKTARILMA AMAÇLARI
Enstitü tarafından veri aktarımı yapılabilecek olan kişiler ile veri aktarım amacı ve tanımı aşağıda belirtilmiştir:
Veri Aktarımı Yapılabilecek Kişiler | Tanımı | Veri Aktarım Amacı |
Hastalar | Hizmet alan gerçek ya da tüzel kişiler | Sözleşme kapsamındaki yükümlülüklerin yerine getirilmesi amacıyla sınırlı olarak aktarılabilecektir. |
Faaliyetler gereği anlaşmalı olunan tüzel ve gerçek kişiler | Faaliyetler gereği anlaşmalı olunan üçüncü kişiler | Faaliyetlerin güvenliği ve sürekliliğinin sağlanması amacıyla aktarılabilecektir. |
Hukuken Yetkili Kamu Kurum ve Kuruluşları | Yürürlükte bulunan mevzuata göre bilgi ve belge almaya yetkili kamu kurum ve kuruluşları | Bilgi ve belge talep eden kamu kurum ve kuruluşlarının söz konusu mevzuat kapsamında belirlenmiş hukuki yetkisi çerçevesinde talep ettiği amaçla sınırlı olarak aktarılabilecektir. |
Hukuken Yetkili Özel Hukuk Kişileri | Yürürlükte bulunan mevzuata göre bilgi ve belge almaya yetkili özel hukuk kişileri | Bilgi ve belge talep eden özel hukuk kişilerinin söz konusu mevzuat kapsamında belirlenmiş hukuki yetkisi çerçevesinde talep ettiği amaçla sınırlı olarak aktarılabilecektir. |
İŞLENEN KİŞİSEL VERİLERİN SINIFLANDIRILMASI
4.1. KİŞİSEL VERİLERİN SINIFLANDIRILMASI
Enstitü tarafından Kanun’da mevcut şartlar ve ilkeler çerçevesinde işlenen kişisel verilere ilişkin sınıflandırma bilgisi aşağıdaki tabloda verilmiştir.
Kişisel Veri Kategorisi | Kişisel Veri |
Kimlik | Ad Soyad Cinsiyet Bilgisi Doğum Tarihi İmza TC Kimlik No Vatandaşlık Bilgisi Doğum Yeri Fotoğraf Medeni Hali Nüfus Cüzdanı Fotokopisi |
İletişim | Telefon No E-Posta Adresi İletişim Adresi |
Özlük | Aile Durumu Bildirimi (AGİ) Askerlik Durumu Belgesi Çalışan İzin Formları Özgeçmiş Bilgileri Sigortalı İşe Giriş BildirgesiHemşire Çalışma BelgesiSGK Hizmet Dökümü |
Müşteri İşlem | Fatura |
İşlem Güvenliği | IP Adresi Bilgileri
İnternet Sitesi Giriş Çıkış Bilgileri |
Finans | IBAN Numarası
Kredi Kartı Bilgisi |
Mesleki Deneyim | Diploma Bilgileri Meslek Bilgisi Meslek İçi Eğitim Bilgileri Önceki İş Tecrübesi Sertifikalar |
Sağlık Bilgileri | Kişisel Sağlık Bilgileri
Kan Grubu Bilgisi Psikolojik Durum ve Ruh Hali Bilgisi Sigara-Alkol Kullanımı Bilgisi Kullanılan İlaç Bilgileri |
Cinsel Hayat | Cinsel Hayata İlişkin Bilgiler |
Görsel ve İşitsel Kayıtlar | Görsel veya Kısa Videolar |
Hukuki İşlem | Adli Sicil Kaydı |
Ceza Mahkumiyeti ve Güvenlik Tedbirleri | Ceza Mahkumiyeti ve Güvenlik Tedbirlerine İlişkin Bilgiler |
4.2. İLGİLİ KİŞİ SINIFLANDIRILMASI
Kendilerine ait kişisel veriler Enstitü tarafından Kanun’da mevcut şartlar ve ilkeler çerçevesinde işlenen kişilere ilişkin sınıflandırma bilgisi aşağıdaki tabloda verilmiştir.
Enstitü tarafından kişisel verileri işlenen kişilerin kategorileri aşağıdaki şekildedir. Bununla birlikte, aşağıda yer alan kategorilerden herhangi birine girmeyen kişilerin talepleri de Kanun ve bu Politika kapsamında değerlendirmeye alınacaktır.
İlgili Kişi | Açıklama |
Çalışan | İş sözleşmesi ile bağlı olarak çalışan gerçek kişi çalışanları ifade eder. |
Çalışan Adayı | Herhangi bir yolla iş başvurusunda bulunmuş olan gerçek kişileri ifade eder. |
Hasta | Enstitüden hizmet alan gerçek kişileri ifade eder. |
Danışan | Enstitüden hizmet almak için başvuran ancak hizmet almayan gerçek kişileri ifade eder |
Veli/Vasi/Temsilci | Tam ehliyeti olmayan hastaların veli/vasi/temsilcilerini ifade eder. |
Web Sitesi Ziyaretçisi | Web sitesini ziyaret eden kişileri ifade eder. |
Üçüncü Kişiler | Bu Politika kapsamında yukarıda sayılan kategorilerden herhangi birine girmeyen ancak kişisel verilerini paylaşan diğer gerçek kişileri ifade eder. |
KİŞİSEL VERİLERİN KORUNMASI İÇİN ALINAN TEDBİRLER
Enstitü, Kanun’un 12. maddesi kapsamında:
- Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
- Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
- Kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini sağlamaya yönelik gerekli teknik ve idari tedbirleri almakta ve Kanun’un uygulanmasını sağlamak amacıyla gerekli denetimleri yapmaktadır.
5.1. KİŞİSEL VERİLERİN KORUNMASI İÇİN ALINAN İDARİ TEDBİRLER
Enstitü, kişisel verilerin hukuka uygun işlenmesi, erişilmesi ve muhafazasını temin amacıyla birçok idari tedbir almaktadır. Kişisel verilerin korunmasına yönelik politikalar belirlenmekte, gerekli teknolojik altyapının sağlanması konusunda eğitimler gerçekleştirilmekte hem teknik hem de idari çalışma ve planlamalar yapılmaktadır.
5.1.1. Çalışanların Eğitilmesi ve Farkındalık Çalışmaları
Enstitü, personelinin ve Enstitüde bulunan herkesin kişisel veri güvenliği konusunda eğitilmesi için azami gayret göstermektedir. Enstitü, veri güvenliğinin en önemli ayaklarından birinin çalışanların bu konudaki bilinç düzeyi olduğunun farkındadır. Bu bakımdan, Enstitü çalışanlarına kişisel verilerin korunmasına ilişkin teknik ve idari konularda eğitimler vermekte ve kişisel verilerin korunması konusunu günlük iş hayatının bir parçası haline getirmektedir.
İşbu Politika’da veya kişisel verilere ilişkin olarak Enstitü tarafından belirlenen diğer politika ve prosedürlerde esaslı bir değişiklik meydana gelmesi halinde, çalışanlara verilecek eğitimlerde bu değişiklikler çalışanların bilgisine sunulmaktadır.
Enstitü işe aldığı bütün personelden ayrıca gizlilik taahhüdü almaktadır.
5.1.2. Kişisel Veri Güvenliği Politikalarının ve Prosedürlerinin Belirlenmesi
Enstitü, veri güvenliğinin sağlanması amacıyla, bu Politika metninin yanı sıra Özel Nitelikli Kişisel verilerin Korunması ve Kişisel Verilerin Saklanması, Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesi Politikaları ve diğer usul ve talimat metinleri ile de kapsamlı olarak kişisel veri güvenliğini sağlamayı amaçlamaktadır.
Enstitü ayrıca söz konusu Politikalar kapsamında düzenli denetimler ve kontroller yapmak için iç yönergeleri geliştirecektir.
5.1.3. Kişisel Verilerin Azaltılması
Enstitü, işleme amaçları bakımından ihtiyaç olmayan kişisel verileri kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesi politikası kapsamında ve Kanun’a uygun bir şekilde imha etmektedir. Enstitü, kişisel verilerin doğru ve güncel olması ile kişisel verilerin uygun ortamlarda muhafaza edilmesine özen göstermektedir.
5.1.4. Veri İşleyenlerle İlişkiler
Enstitü, veri işleyenlerden hizmet almasının gerekli olması durumunda, veri işleyenlerin de güvenlik seviyesinin asgari olarak Enstitü standartlarında sağlanmasını zorunlu tutmak amacıyla; veri işleyenler ile imzaladığı sözleşmelerde aşağıda belirtilen kriterlerin mevcudiyetini aramaktadır:
- Sözleşmenin yazılı olması,
- Sözleşmede veri işleyenin sözleşmede belirtilen amaç ve kapsama uygun ve kişisel verilerin korunması mevzuatı ile uyum içerisinde hareket edeceğine dair hükümlerin yer alması,
- Sözleşmede veri işleyenin veri güvenliğini sağlamaya yönelik yükümlülükleri yerine getireceğine ilişkin kayıtlar ile sır saklama yükümlülüğüne ilişkin hükümlerin yer alması.
5.1.5. İlgili Kişinin Başvuru Prosedürünün Düzenlenmesi
Enstitü; ilgili kişinin KVK Kanunun 11. Maddesindeki haklarını kullanmasını kolaylaştırmak, başvuru sürecini şeffaf hale getirmek ve bu sürece işlerlik sağlamak amacıyla matbu başvuru dilekçeleri düzenlemiştir. Kişisel verileri hakkında başvuru yapmak isteyen ilgili kişi bu dilekçelerle Enstitüin web sitesi üzerinden başvurusunu gerçekleştirebilir.
5.1.6. Yurtdışı Aktarım Prosedürünün Düzenlenmesi
Enstitü faaliyetleri gereği çalışanlarının kişisel verilerini, KVK Kanunu madde 9 uyarınca almış olduğu açık rızalara dayanarak yurtdışı alıcı gruplarıyla paylaşabilmektedir.
5.2. KİŞİSEL VERİLERİN KORUNMASI İÇİN ALINAN TEKNİK TEDBİRLER
5.2.1. Siber Güvenliğin Sağlanması
Enstitü, birçok prensip dâhilinde tamamlayıcı niteliğe sahip ve düzenli olarak kontrol edilen teknik tedbirler planlamakta, hazırlamakta ve uygulamaktadır.
Etkin olarak Güvenlik Duvarı (Firewall) sistemi çalışmaktadır. Ayrıca, internet ağ geçidi sistemi ile Enstitü personelinin veri güvenliğini tehdit edebilecek sitelere girişleri sistem tarafından engellenmektedir. Ek olarak sistemler ve ağ için yüklenen virüs koruma ve güvenlik duvarı yazılımları ve intranet-internet ağlarının ayrı olması da bilgi sızma riskini önlemektedir.
Enstitüte kullanılan bilgisayarlara zafiyet içeren yazılımların yüklenmesi mümkün bulunmamaktadır. Şöyle ki, internet ağına bağlı olarak çalışan bilgisayarlarda bu tarz uygulamaları kurma yetkisi personelde bulunmayıp, uygulamalar ancak Enstitü tarafından yönetici oturumuyla bilgisayarlara yüklenmektedir.
İnternet ağına bağlı olarak kullanılan bilgisayarlara güncel zafiyetleri kapatacak şekilde işletim sistemi üreten firmaların yayınlamış oldukları yamalar periyodik olarak Enstitü tarafından yüklenmektedir.
Kişisel verilerin bulunduğu siber ortamlarda kullanıcı yetkileri “bilmesi gereken prensibi” ve “en az haklar ilkesi’’ne göre verilmektedir. Bilmesi gereken ilkesi gereği Kişi Güvenlik Belgesine sahip olsa dahi konu ile ilgisi olmayan personelin gizlilik dereceli projelerde görev üstlenmesine yahut bilgi ve belgeye erişimine müsaade edilmez. En az haklar ilkesi de her bilgisayar programı ve kullanıcısının tanımlı olan meşru görevini yerine getirebilmesi için gerekli olan en az hakla donatılmış olmasıdır.
Her personelin yürüttüğü faaliyetlere göre kendine tanımlanan erişim yetkileri bulunmaktadır. Sisteme personel tarafından erişim sağlanmaya çalışıldığında sistem, yetkileri kontrol ederek veriye ulaşmak isteyen personelin yetkili olup olmadığını denetler, personelin yetkiye sahip olmaması halinde erişim girişimi otomatik olarak engellenir.
Personel, kendi kullanıcı kodları ve şifreleri ile sisteme erişebilmektedir. Kullanıcı kodları anonim değil, kişiseldir. Her kullanıcının erişim yetkileri haricinde bu yetkilerin verilme ve alınma tarihleri de veri kaçağı oluşmaması adına kayıt altına alınmaktadır. Enstitü yerel alan ağında kullanılan bilgisayarların kullanıcı ve erişim yönetimi için merkezi bir kimlik ve erişim yönetim sistemi (Domain Controller) kullanılmaktadır. Kişisel bilgisayarlara erişimde kullanılacak şifrelerin belirlenmesinde karmaşık şifre belirlenmesi için gerekli kural tanımlamaları bulunmaktadır.
Veri işleyenlerin erişim yetkilerinin takibi, Enstitü tarafından yapılmaktadır.
Bilgisayar hesaplarının kontrolü ve adminlik yetkisi Enstitüde olup; işten ayrılan personel için kullanıcı hesapları derhal kapatılarak ayrılan personelin sisteme girişi engellenmektedir.
Kötü amaçlı yazılımlardan korunmak için Enstitüde merkezi olarak yönetilen “antivirüs” ve “antispam” yazılımları hususunda gerekli tedbirler alınmaktadır. Alınan bütün bu teknik tedbirlerle Enstitü veri güvenliğine ilişkin en üst seviyede koruma sağlamaktadır.
5.2.2. Kişisel Verileri İçeren Ortamların Veri Güvenliğinin Sağlanması
- Kişisel veri içeren ortamlar en üst düzeyde korunmaktadır.
- Kağıt ortamında saklanan kişisel veriler, gizlilik derecesine göre kilitli dolaplarda muhafaza edilmektedir.
- Elektronik ortamda bulunan kişisel veriler üzerinde güvenlik ihlallerini önlemek için ağ erişimleri sınırlandırılmaktadır.
- Sadece Enstitü tarafından yetkilendirilen bilgisayarların Enstitü içi bilgisayar ağına erişim yetkisi vardır.
- Kişisel veri güvenliğinin sağlanması için ilgili sunucular ve yedekleme sunucuları Enstitüin veri merkezinde muhafaza edilmektedir. Veri merkezine girişler sadece yetkili personelin erişebileceği şekilde yapılandırılmıştır.
5.2.3. Bilgi Teknolojileri Sistemleri Tedariki, Geliştirme ve Bakımı
Enstitü tarafından yeni sistemlerin tedariki, geliştirilmesi veya mevcut sistemlerin iyileştirilmesi ile ilgili ihtiyaçlar belirlenirken güvenlik gereksinimleri göz önüne alınmaktadır.
5.2.4. Kişisel Verilerin Yedeklenmesi
Kişisel verilerin herhangi bir sebeple zarar görmesi, yok olması, çalınması veya kaybolması gibi durumlardan korunmak için veriler düzenli olarak yedeklenmektedir.
İLGİLİ KİŞİNİN HAKLARI
Enstitü, Kanun’un 10. ve 11. maddeleri çerçevesinde, sahip olduğu haklar konusunda ilgili kişileri bilgilendirmekte ve bu hakların kullanım yöntemleri konusunda yol göstermektedir. Enstitü, ilgili kişinin haklarını kullanabilmesi için Kanun’un 13. maddesi çerçevesinde gerekli olan mekanizmaları kurmuştur.
6.1. İLGİLİ KİŞİNİN HAKLARI VE BU HAKLARIN KULLANIMI
6.1.1. İlgili Kişinin Hakları
İlgili Kişi:
- Kişisel veri işlenip işlenmediğini öğrenme,
- Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
- Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
- Yurtiçinde veya yurtdışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
- Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
- Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahiptir.
6.1.2 İlgili Kişilerin Haklarına İlişkin İstisnalar
Kanun’un 28. maddesi uyarınca, aşağıda sayılı olan haller Kanun kapsamı dışında bırakıldığından, ilgili kişi aşağıda sayılan konularda yukarıda sayılı olan haklarını kullanamazlar:
- Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.
- Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.
- Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.
- Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.
- Ayrıca, yukarıda sayılan istisna hükümlerine ilaveten, Kanun’un 28/2 maddesi uyarınca, aşağıda sayılan hallerde ilgili kişiler zararın giderilmesini talep etme hariç yukarıda sayılan haklarını kullanamazlar:
- Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.
- İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.
- Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.
- Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.
6.1.3 İlgili Kişinin Haklarını Kullanması
Kanun gereğince, ilgili kişinin yukarıda belirtilen haklarını kullanmakla ilgili taleplerini “yazılı” veya Kişisel Verileri Koruma Kurulu’nun belirlediği diğer yöntemlerle veri sorumlusuna iletmeleri gerekmektedir.
(i) İlgili Kişi bu haklarını kullanmak için adresindeki formu doldurarak, formun el mahsulü imzalı bir nüshasını Büyükesat Mahallesi Uğur Mumcu Sokak 61/3 GOP-Ankara adresine ilgili kişinin kimliğini tespit edici belgeler ile birlikte bizzat elden iletilebilirler.
(ii) İlgili Kişi http://yarinahazirlik.com/ adresinde bulunan formu doldurarak 5070 sayılı Elektronik İmza Kanunu çerçevesinde güvenli elektronik imza ile imzalandıktan sonra info@yarinahazirlik.com e-posta adresine güvenli elektronik imzalı olarak iletilebilir.
İlgili Kişi adına üçüncü kişilerin başvuru talebinde bulunabilmesi için, bu kişilerin hak sahibi tarafından noterlikçe düzenlenmiş ve içeriğinde kişisel verilere ilişkin başvuru, bilgi talebi gibi yetkilerin yer aldığı özel vekâletname ile yetkilendirmiş olması ve bu belgeyi talep anında ibraz etmeleri veya taleplerine eklemeleri gereklidir.
6.2 BAŞVURULARIN CEVAPLANDIRILMASI
6.2.1 Başvurulara Cevap Verme Usulü ve Süresi
Enstitü; kişisel verilerle ilgili yapılan başvuruları inceler ve karara bağlar. Başvuru sahibinin bu Politika’nın 6.1.1 maddesinde yer alan usule uygun olarak gerçekleştirmiş olduğu talebi, Enstitü tarafından, talebin niteliğine göre en kısa sürede ve en geç tebliğ alınan tarihten itibaren otuz gün içinde ücretsiz olarak sonuçlandırılır. İşlemin ayrıca bir maliyeti gerektirmesi hâlinde (flash disk, CD kullanımı vb), Kurul tarafından belirlenen tarifedeki ücret (10 sayfanın üzerindeki her sayfa için 1 Türk Lirası işlem ücreti) alınabilir.
Enstitü, başvuru sahibinin ilgili kişi olup olmadığını tespit etmek amacıyla başvuru sahibinden bilgi ve belge talep edebilir. Enstitü, aynı zamanda, başvuru sahibinin başvurusunda yer alan hususları netleştirmek adına başvuru sahibine soru yöneltebilir.
6.2.2 İlgili Kişinin Başvurusunun Reddedilmesi
Enstitü, yapılan başvurunun bu Politikanın 6.1.2 maddesinde ve Kanun’un 28. maddesinde sayılan istisna halleri kapsamında olması durumunda başvuruyu reddetme hakkına sahiptir.
Enstitü ayrıca, ilgili kişinin talebinin diğer kişilerin hak ve özgürlüklerini engellemesi ihtimali içermesi, talep edilen bilginin kamuya açık olması, talep edilen bilginin mevzuat çerçevesinde belirlenmiş gizli bilgi olması durumunda da başvuruyu reddedebilir.
- Uygulama ve Yürürlük
İşbu Politika Enstitü tarafından onaylanmasının akabinde yürürlüğe girer:
DÖKÜMAN TARİHÇESİ | ||
Versiyon | Yayın Tarihi | Değişikliğin Tanımı |
Hazırlayan | İnceleyen | Onaylayan |