Kişisel Verilerin Yönetimi ve Koruması Politikası



1. Amaç

İşbu Kişisel Verilerin Yönetimi ve Korunması Politikası (“Politika”), Mesleki Yeterlilik Kurumu ( dokümanda bundan sonra “MYK” anılacaktır )  ’nın kişisel veri işleme faaliyetlerine yönelik MYK tarafından benimsenen ve uygulanan yöntemler ve kurallar konusunda açıklamalarda bulunmak amacı ile oluşturulmuştur.

2. Kapsam

Bu doküman, MYK tarafından ve MYK adına kişisel veri işlenen tüm kişisel veri işleme süreçlerini kapsar. Tüm MYK çalışanları ve MYK’ya hizmet veren/hizmetlerin verilmesinde görevlendirilen gerçek kişiler; bu politikayı bilmek ve tanımlanan kurallara uymakla yükümlüdür.

Bu politikanın kapsamına gerçek kişiye ilişkin her türlü Kişisel Veri dahildir ve bu dokümanda belirtilen kurallar, MYK’nın Veri Sorumlusu olduğu kişisel verileri kapsar. Bu veriler fiziksel veya elektronik ortamlarda bulunabilir.

Bu kapsamda MYK tarafından Daire Başkanlıkları’ndan sorumlu kişilerden oluşan Kişisel Verilerin Yönetimi ve Korunması Komitesi kurulmuş olup KVKK uyum çalışmaları Komite tarafından yürütülmektedir.

3. Uygulama

KVK süreçlerinin işletilmesinde uyulması gereken esaslar aşağıdaki başlıklarda açıklanmıştır. Mesleki Yeterlilik Kurumu’nun iş faaliyetleri kapsamında MYK çalışanlarının, temas/iletişim kurulan tüm ilgili kişilerin kişisel verilerinin korunması ve işlenmesi için sorumlulukları kapsamında, kişisel verilerin işlenmesine ilişkin belirlenen ilkeler, ilgili yasal düzenlemelere uyum sağlanarak, kişisel veri yönetimi faaliyetlerini sürdürmesi için gerekli temel kurallar tanımlanmıştır.

4. Kısaltmalar ve Tanımlar

KVKK dokümanları içerisinde kullanılan kısaltmalar ve tanımlar KVKK.KL01 KVKK Kısaltmalar ve Tanımlar Kılavuzu’nda yer almaktadır.

5. Görev ve Sorumluluk

İşbu Politika’nın hazırlanması ve güncel tutulması ile MYK’daki faaliyetlerin Politika’ya uygun gerçekleştirildiğinin denetlenmesi faaliyetlerinden KVK Komitesi sorumludur. KVK Komitesi’nin görev ve sorumlukları KVKK.GT.01 Kişisel Verilerin Yönetimi ve Korunması Komitesi Görev Tanımları’nda belirtilmektedir.

6. Politika İçeriği

6.1.   Kişisel Veri İşleme İlkelerine Uygunluk

a) MYK, çalışanları dahil olmak üzere, iş faaliyetleri kapsamında temas/iletişim kurulan tüm gerçek kişilerin ve üçüncü kişilerin (Gerçek kişi müşteri/tedarikçi, müşteri/tedarikçinin temas kişisi vb.) Kişisel Verilerini işler.

b) Kişisel verinin işlenmesine aşağıdaki süreçler dahildir;

  •          Kişisel verinin toplanması,
  •          Kişisel verinin depolanması,  kaydı ve saklanması
  •          Kişisel verinin amacına uygun işleme tabi tutulması,
  •          Kişisel verinin değiştirilmesi,
  •          Kişisel verinin aktarılması,
  •          Kişisel verinin elden çıkarılması (silme, imha ve/ya anonimleştirmesi)

c) Kişisel Verilerin mevzuata uygun olarak işlenmesi ve bu kapsamda korunması gerekmektedir. Kişisel verinin mevzuata aykırı olacak şekilde işlenmesi ve/veya korunmaması durumunda; MYK’nın mevzuat hükümleri uyarınca cezai ve/veya idari yaptırımlarla karşılaşma riski bulunmaktadır. Bu bağlamda, Kişisel Verilerin işlenmesi ve korunmasına özen gösterilmesi, MYK’nın itibarı için elzemdir.

d) MYK çalışanları, Kişisel verileri işlerken mutlaka aşağıda belirtilen hususlara uygun davranmalıdır.

  •   Amaç: Kişisel Verilerin toplanması ve işlenmesi için,  belirlenmiş, açık ve meşru bir iş amacı ya da yasal bir gereklilik olmalıdır. Kişisel veri, bu amaç için gerekli olduğu ölçüde ve gerekli olduğu sürece işlenmelidir
  •   Şeffaflık: Kişisel Veriler toplanırken, ilgili kişiler verinin işlenme amacı, kapsamı ve sahip oldukları yasal haklar hususunda aydınlatılmalıdır. İlgili kişilerin yasal haklarını kullanmak amacıyla MYK’ya başvurması durumunda Kişisel Verilerin toplanma yöntemi ve amacı hususlarında ilgili kişiye bilgi verilip, makul talebi doğrultusunda gerekirse verileri güncellenmeli veya silinmelidir.
  •     Aydınlatma: Kişisel veri işlenirken, ilgili kişilere; bu verilerinin kim tarafından, hangi amaçlarla, hangi hukuki gerekçelere dayanarak işlendiği, kimlere hangi amaçlarla aktarılabileceği hususunda bilgi verilmelidir.
  •       Rıza: Bu politikanın 4.3 b maddesinde belirtilen istisnaların bulunmadığı durumlarda, Kişisel Verinin işlenmesi için ilgili kişinin açık rızası alınmış olmalıdır. Bu rıza sadece işlenecek olan veri hangisiyse onun için alınmalı, genel bir rıza olmamalıdır. Aynı zamanda ilgili kişiye rıza vermek zorunda olmadığına ve vermiş olduğu rızayı her zaman geri alabileceğine ilişkin bilgi verilmelidir.
  •       Özen Yükümlülüğü:  Kişisel Veri, bu politikanın 4.3 maddesinde belirtilen kurallara ve hukuka uygun, meşru bir amaca yönelik olarak elde edilmelidir. Bu politikanın 4.1 maddesinde belirtilen kapsamda işlenerek doğru ve güncel bir şekilde muhafaza edilmelidir. Verinin işlenme amacı ortadan kalktığında ya da tamamlandığında işlenmiş veri bu politikanın 4.7 maddesine uygun bir şekilde silinmek, yok edilmek veya anonimleştirilmek suretiyle imha edilmelidir. Kişisel Verinin özen yükümlülüğüne uygun olarak işlendiğinin ortaya konulabilmesi için, bir önceki cümlede belirtilen şekilde davranılması bir zorunluluktur.

e) Kişisel Veri İşlenmesine ilişkin genel kurallar burada belirtildiği şekilde olup Kişisel Veri İşlenmesi’ne yönelik detaylar KVKK.PR01 Kişisel Verilerin Yönetimi ve Korunması Prosedürü’nde belirtilmiştir.

6.2. Kişisel Verilerin İşlenme Şartları (Veri İşlemenin Hukuki Sebepleri)

Kişisel veriler ancak (i) İlgili Kişinin “açık rızasının” varlığı halinde veya (ii) aşağıdaki işleme sebeplerinden birinin varlığı halinde ise açık rıza olmaksızın işlenebilir:

  •      Kanunlarda açıkça öngörülmesi,
  •     Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
  •     Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
  •      Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
  •      İlgili Kişinin kendisi tarafından alenileştirilmiş olması,
  •      Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
  •      İlgili Kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması,

Yukarıda işleme şartlarından herhangi birinin mevcut olmaması halinde kişisel veriler işlenemez, bu işleme şartlarından biri başta mevcut olmasına rağmen sonradan ortadan kalkarsa ilgili kişisel veri işleme sürecine son verilir.

Kişisel veri işleme sürecinin hukuki sebebinin tespitinde tereddüt yaşanması halinde KVK Yöneticisi’ne ve KVK Kurulu’na danışılır.

Özel nitelikli kişisel verilerin işlenme şartlarına ilişkin olarak ise, KVKK.PL03 Özel Nitelikli Kişisel Veri İşleme Politikası’nda yer alan kurallar uygulanır.

6.3. Kişisel Verilerin Toplanması

  1.     Kural olarak genel nitelikli Kişisel Verinin toplanabilmesi için ilgili kişinin aydınlatılmış olması ve gerekmesi halinde açık rızasının alınması gereklidir. 
  2.   Kişisel Verilerin elde edilmesinin amacı belli olmalı ve kişisel veri bu amacın dışında işlenmeyecek ve kullanılmayacaktır. 
  3.      Kişisel verinin alınacak güvenlik önlemlerine uygun şekilde kullanılması ve saklanması gerekmektedir.
  4.      Kişisel verilerin toplanmasına ilişkin detay koşullar işbu dokümanın 4.3 maddesinde yer almaktadır.

6.4. Aydınlatma Yükümlülüğü

Kanun’un 10. maddesinde yer alan aydınlatma yükümlülüğü uyarınca MYK veya Veri İşleyenleri, kişisel veri işlemeden önce veya en geç işlenmesi sırasında aşağıdaki hususlarda İlgili Kişileri aydınlatır.

  •      Veri sorumlusu olarak MYK’nın kimliği (Mesleki Yeterlilik Kurumu),
  •      Kişisel verilerin hangi amaçla işleneceği,
  •      İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
  •      Verileri toplama yöntemi ve hukuki sebebini,
  •      İlgili Kişi’lerin Kanun’un 11. maddesinde yer alan hakları.

Aydınlatmanın yapılmasında bir şekil şartı olmamakla birlikte, aydınlatma yükümlülüğünün yerine getirildiğini ispat yükümlülüğü Veri Sorumlusu olarak MYK’da olduğundan, kişisel veri işleme süreci kurgulanırken aydınlatma yükümlülüğünün yerine getirildiğini ispatlayıcı önlemler alınır.

Bu önlemler aydınlatmanın yapılma yöntemine göre değişiklik gösterebilir. (Örn. Basılı evrak ile aydınlatma yapıldığı durumlarda İlgili Kişiler’den aydınlatma metninin sonunda imzası alınabilir, sesli ortamda aydınlatma yapılması halinde ilgili ses kaydı saklanabilir veya dijital ortamlarda aydınlatma yapıldığı durumlarda aydınlatma yapıldığını kanıtlar dijital log kayıtları saklanabilir.)

Kişisel verilerin işlenme amaçlarının değişmesi durumunda İlgili Kişiler’e yeni kişisel veri işleme amacına ilişkin aydınlatma yapılır.

Ayrıca, kişisel verilerin doğrudan ilgili kişilerden elde edilmediği durumlarda (örn. üçüncü kişi bir veri sorumlusundan kişisel veri alınması) da MYK tarafından aydınlatma yükümlülüğü;

  •      Kişisel verilerin elde edilmesinden itibaren makul bir süre içerisinde,
  •      Kişisel verilerin İlgili Kişi ile iletişim amacıyla kullanılacak olması durumunda, ilk iletişim kurulması esnasında,
  •      Kişisel verilerin aktarılacak olması halinde, en geç kişisel verilerin ilk kez aktarımının yapılacağı esnada

yerine getirilir.

Kanun m. 28 uyarınca ise, İlgili Kişi’nin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesine ilişkin veri sorumlusu olarak MYK’nın aydınlatma yükümlülüğü olmadığından aydınlatma yapılmaz. Ancak İlgili Kişi’nin kişisel verilerini alenileştirme amacı ile kişisel veri işleme amacı uyumlu olmalıdır. Bu nedenle aydınlatma yapılmasına ilişkin istisnaya tabi olunup olunmadığı hususunda tereddüt yaşanması halinde kişisel veri işleme sürecine başlamadan önce KVK Yöneticisi’ne ve KVK Kurulu’na danışır.

6.5. Kişisel Veri Envanterinin Yönetimi

MYK, veri sorumlusu sıfatıyla ve ayrıca veri işleyen sıfatıyla işlenen kişisel veriler tespit edilmeli ve kişisel veri envanterinde tutulmalıdır.  

VERBİS kaydında kullanılmak üzere veri sorumlusu sıfatıyla işlenen verilere ilişkin veri envanteri ile bundan ayrı olarak, kişisel verilerin yönetiminin tam ve sağlıklı bir şekilde yapılabilmesini teminen veri işleyen sıfatıyla işlenmekte olan kişisel verilerin de olduğu daha detaylı ayrı bir veri envanteri oluşturulmalıdır.

Oluşturulan veri işleme envanterinin doğru ve eksiksiz bir şekilde VERBİS’e bildirimini gerçekleştirmek adına, ilgili envanterin VERBİS’te mevcut şablona uygun bir şekle getirilmeli ve bu konuda gerekli entegrasyon çalışması gerçekleştirilmelidir. 

Oluşturulan kişisel veri envanterinin güncelliği her daim takip edilmeli ve envanterde yer alan kişisel veri işleme süreçlerinden herhangi birinin değişikliğe uğraması durumunda ilgili değişiklik, değişikliğin meydana geldiği tarihten itibaren yedi gün içerisinde KVK Yöneticisi tarafından İrtibat Kişisi aracılığıyla VERBİS’e işlenerek, gerekli güncelleme ile bildirim çalışmaları tamamlanmalıdır. KVK Yöneticisi, bu değişikliğe ilişkin olarak ihtiyaç duyması halinde KVK Kurulu’na danışabilir.

Envanter sürecine yönelik detaylar KVKK.PR01 Kişisel Verilerin Yönetimi ve Korunması Prosedürü’nde belirtilmiştir.

6.6. İlgili Kişi Başvuru ve Şikayetlerinin Yönetimi

İlgili Kişiler, MYK’ya başvurarak Kanun’un 11. maddesinde sayılan aşağıdaki haklarını ileri sürebilir:

  1. Kişisel veri işlenip işlenmediğini öğrenme, 
  2. Kişisel verileri işlenmişse buna ilişkin bilgi talep etme, 
  3. Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, 
  4. Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, 
  5. Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, 
  6. kişisel verilerin silinmesini veya yok edilmesini isteme,
  7. (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  8. İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, 
  9. Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme, 

haklarına sahiptir. İlgili kişi bu haklarının bulunduğu hususunda kişisel veri toplanmadan önce aydınlatılmalıdır.

İlgili Kişi başvurularının yöntemi, başvuruların hangi kanallardan kabul edileceği, başvurunun Kanun’a uygun olup olmadığının denetlenmesinde esas alınacak kriterler, başvurulara cevap verme usulü ve süresi, başvurunun sonuçlandırılması, başvurunun reddi halinde İlgili Kişi’nin Kurul’a şikâyette bulunma hakkı ile olası bir İlgili Kişi başvurusu veya Kurul’a yapılacak şikâyetlere ilişkin detaylar KVKK.PR.02 İlgili Kişi Başvuru ve Şikayetlerinin Yönetimi Prosedürü’nde belirtilmiştir.

6.7. Kişisel Verilerin Güvenliği

    a. MYK, kişisel verileri işlerken:

  •       Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
  •       Kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve
  •       Kişisel verilerin muhafazasını sağlamak

amacıyla uygun güvenlik düzeyini temin etmeye yönelik her türlü teknik ve idari tedbirleri alır.

   b. MYK, hem veri sorumlusu sıfatıyla hem de veri işleyen sıfatıyla işlemekte olduğu kişisel verilerin - ilgili verinin MYK tarafından işlendiği hallerde - güvenliğinin sağlanmasından sorumludur. Bu kapsamda hukuka aykırı işlemelerin, ele geçirmelerin, paylaşımların önüne geçecek gerekli tüm teknik ve idari tedbirleri almakla ve bunların uygulanıp uygulanmadığını denetlemekle yükümlüdür. 

    c. MYK kişisel verilerinin güvenliğinin sağlanması için aşağıdaki işlemleri yapacaktır:

  •        En az yılda bir KVKK’da yer alan teknik ve idari tedbirler kapsamında iç denetim,
  •        Düzenli aralıklarla kişisel verilerin bulunduğu ortamların yer aldığı güvenlik testleri,
  •      Veri sorumlusu olunan Kişisel verilerin bulunduğu ortamlarda ve süreçlerde teknik ve idari güvenlik önlemlerin alınması,
  •      Veri işleyen olunan ortamlarda veri sorumlusu ile temasa geçecek gerekli teknik ve idari önlemlerin alınması konusunda aktivitelerin planlanması ve takibi,
  •       Veri işleyene kişisel veri aktarımının söz konusu olduğu süreçlerde veri işleyenin gerekli idari ve teknik tedbirleri almasına yönelik sözleşme süreçlerini yöneterek, gerekmesi halinde veri işleyenin bu noktada gerekli aksiyonları almasının sağlanması,

    d. Kişisel Veri güvenliğine ilişkin genel kural burada belirtildiği şekilde olup Kişisel Verinin güvenliğine yönelik detaylar KVKK.PR01 Kişisel Verilerin Yönetimi ve Korunması Prosedürü’nde belirtilmiştir.

6.8. Özel Nitelikli Kişisel Verilerin Güvenliği

Kanun’da sınırlı bir şekilde sayılı bulunan özel nitelikteki kişisel veriler şunlardır;

Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.

Özel nitelikli kişisel verilerin korunması amacıyla verilerin elektronik ya da fiziksel ortamda tutuluyor olmasına göre ikili bir ayrım yapılmış olup, bu husustaki detaylar ve özel nitelikteki kişisel verilerin korunmasına ilişkin süreç KVKK.PR01 Kişisel Verilerin Yönetimi ve Korunması Proesdürü’nde yer almaktadır.

Ayrıca; Açık rıza, aydınlatma yükümlülüğü, veri aktarımı ve veri güvenliğine ilişkin hususlarda KVKK, özel nitelikli kişisel veriler ile genel nitelikli kişisel veriler açısından ayrı yükümlülükler düzenleme yoluna gittiğinden, MYK bu hususlarda KVKK’nın öngördüğü gereklilikleri yerine getirecektir. Bu gerekliliklerin karşılanması için oluşturulan temel kurallar KVKK.PL03 Özel Nitekli Kişisel Verilerin Yönetimi ve Korunması Politikası’nda yer almaktadır.

6.9. Kişisel Verilere Erişim Yönetimi

Esas olan kişisel verinin işlenme amacıyla bağlantılı ve sınırlı olacak şekilde yetkili kişilerin belirli ve sınırlı olması ve söz konusu veriye erişimin sadece bu kişilerce yapılmalıdır.

Yetkisiz ya da amaç ile bağlantılı olmayan kişilerin veriye erişimi yasaktır.

Tanımlı yetkilinin görevinin değişmesi ya da işten ayrılması hallerinde erişim yetkisi de derhal kaldırılır.

Erişim yetkisi olan kişilerce erişilen verilerin güvenliğinin sağlanmış olması esastır, erişilen veri ilgilisinin bilgi ve onayı dahilinde olan işlenme amaçlarının gerekli kıldığı haller ve bu politikanın 4.3 b maddesinde belirtilen haller haricinde başka ortamlara aktarılamaz, işleme amacı dışında kullanılamaz, aktarımına, kullanımına sebebiyet veren bir eylemde bulunulamaz. 

Kişisel Verilerin Erişimi sürecine yönelik detaylı düzenlemeler KVKK.PR01 Kişisel Verilerin Yönetimi ve Korunması Prosedürü’nde belirtilmiştir.

6.10. Kişisel Verilerin Aktarılması

6.10.1. Kişisel Verilerin Aktarım Şartları

Kişisel veriler ancak (i) İlgili Kişinin “açık rızasının” varlığı halinde veya (ii) aşağıdaki işleme sebeplerinden birinin varlığı halinde aktarılabilir: 

  •      Kanunlarda açıkça kişisel verilerin aktarılabileceğinin öngörülmesi,
  •      Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için kişisel verilerin aktarımının zorunlu olması,
  •      Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin aktarılmasının gerekli olması,
  •      Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için kişisel verilerin aktarılmasının zorunlu olması,
  •      İlgili kişinin kendisi tarafından alenileştirilmiş olması,
  •      Bir hakkın tesisi, kullanılması veya korunması için kişisel verilerin aktarılmasının zorunlu olması,
  •      İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri aktarımının zorunlu olması,

Kişisel verilerin yurt dışındaki üçüncü kişilere aktarımı ise ayrıca düzenlenmiştir. Buna göre kişisel veriler;

  •      İlgili Kişi’nin yurt dışına kişisel veri aktarımına ilişkin açık rıza vermesi veya
  •    Kişisel verilerin açık rıza dışındaki diğer üçüncü kişilere aktarım şartlarından birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede;
  •      Yeterli korumanın bulunması,
  •     Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurul’un izninin bulunması halinde

ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir. Yeterli korumaya sahip ülkelere yapılacak aktarımlar için bu ülkenin KVK Kurul’u tarafından ilan edilen (eğer ilan edilmişse) “yeterli korumaya sahip ülkeler” arasında yer alıp almadığı kontrol edilir.

Özel nitelikli kişisel verilerin aktarımına ilişkin olarak ise  KVKK.PL03 Özel Nitelikli Kişisel Veri İşleme Politikası’nda yer alan kurallar uygulanır.

6.11. Kişisel Verilerin Saklaması ve İmhası

  1.     MYK’nın veri sorumlusu olarak işlemiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde, kişisel veriler resen veya ilgili kişinin talebi üzerine MYK tarafından silinmeli, yok edilmeli veya anonim hale getirilmelidir.
  2.      Kişisel veriler, sadece belirlenen iş amaç(lar)ını yerine getirmek için gerektiği kadar veya yürürlükteki mevzuat hükümlerinde belirtilen süre kadar saklanmalıdır.
  3.       MYK, Kişisel Veriler’i süresiz olarak değil, ancak ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza eder. MYK’nın her bir kişisel veri işleme süreci ile ilgili olarak: 
  •   Kişisel verilerin saklanma süreleri, süreçlere bağlı olarak gerçekleştirilen faaliyetler kapsamındaki tüm kişisel verilerle ilgili kişisel veri bazında envanter hazırlanırken belirlenmelidir.
  •     Veri kategorileri bazında saklama süreleri VERBİS’e girilen kayıtlarda yer almalıdır.

Kişisel Veri Saklama ve İmha sürecine ilişkin genel kural burada belirtildiği şekilde olup sürecine yönelik detaylı düzenlemeler KVKK.PL02 Kişisel Veri Saklama ve İmha Politikası’nda belirtilmiştir.

6.12. Kişisel Verilere ait İhlal Olayı (Vaka) Yönetimi

  1.     Her bir MYK çalışanı, Kişisel veri güvenliği konusunda şüpheli bir durumla karşılaştığında,  derhal, en kötü KVKK’da öngörülen süre içerisinde, MYK Kişisel Verilerin Yönetimi ve Korunması Komitesi’ne bilgi vermelidir.
  2.     Kurul, kendisine bildirilen şüpheli duruma ilişkin gerekli bilgi ve belgeleri ilgililerden edinir, bunları değerlendirir, değerlendirmesi neticesinde eğer gerçek bir ihlal/ihlal tehlikesi söz konusu ise MYK’nın politikasına aykırı hususların giderilmesi için gerekli aksiyonları belirler ve sonucu Üst Yönetim’e bildirir. Veri ihlaline sebebiyet veren sorumlular hakkında gerekli yasal ve idari işlemlerin yapılması için aksiyonlar alınır.
  3.      Kişisel verilerin korunmasına ilişkin yönetsel karar verilmesi gereken konularda Kurul koordinasyonu sağlar.
  4.      Kişisel verilerin açığa çıkması ve kötüye kullanılmasını önlemek amacı ile gerekli kaynakların ayrılması sağlanır.
  5.      İlgili süreç MYK’nın veri işleyen konumunda olduğu veri işleme süreçlerini de kapsamaktadır.
  6.    Kişisel Veri İhlal Olay (Vaka) yönetimine ilişkin genel kural burada belirtildiği şekilde olup; MYK tarafından, Kanun’un 12. maddesine uygun olarak işlenen Kişisel Veriler’in kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde KVKK.TL01 Kişisel Veri İhlal Olay (Vaka) Bildirimi Talimatı içerisinde belirtilen talimat adımları uygulanır.

Ayırıca; Kişisel Veri İhlal Olay (Vaka) Yönetimi’ne yönelik detaylı düzenlemeler KVKK.PR01 Kişisel Verilerin Yönetimi ve Korunması Prosedürü’nde belirtilmiştir.

7. Yaptırım(lar)

7.1. MYK’nın Karşılaşabileceği Yaptırımlar

KVKK uyarınca Kamu Kurum ve Kuruluşlarına idari para cezası uygulanmamaktadır.

7.1.1. Türk Ceza Kanunu Kapsamında Uygulanabilecek Cezalar

  •     Kişisel verilerin ve Özel nitelikli kişisel verilerin hukuka aykırı olarak kaydedilmesi -  1-3 yıl hapis cezası verilir.
  •     Kişisel verileri hukuka aykırı olarak başkasına verme, yayma, ele geçirme - 2-4 yıl hapis cezası verilir.
  •     Bu Suçlar; Kamu Görevlisi Tarafından Ve Görevinin Verdiği Yetki Kötüye Kullanılmak Suretiyle, Belli Bir Meslek Ve Sanatın Sağladığı Kolaylıktan Yararlanmak Suretiyle, İşlenirse, Yukarıda verilecek cezalar yarı oranında artırılır.
  •     İşlemeyi gerektiren sebepler ortadan kalktığı halde kişisel verilerin silinmemesi, anonim hale getirilmemesi 1-2 yıl hapis cezası verilir.
  •     Suçun Konusunun Ceza Muhakemesi Kanunu Hükümlerine Göre Ortadan Kaldırılması veya Yok edilmesi gereken veri olması durumunda verilecek ceza bir kat arttırılır.

7.2. MYK Çalışanlarının Karşılaşabileceği Yaptırımlar

İşbu metinde yer alan hususlara kısmen ya da tamamen uyum sağlamayan Çalışanlar için MYK’nın Disiplin Süreci işletilir.

MYK işbu metin başta olmak üzere KVKK kapsamındaki kuralların en iyi şekilde anlaşılması ve gündelik iş süreçlerinde bu kuralların uygulama alanı bulması adına,  çalışanlarına yönelik olarak gerekli eğitim modüllerini yürütmeye başlayacaktır.

8. Dokümanın Güncelliği

Bu doküman aşağıdaki koşullarla gözden geçirilir ve gerektiğinde güncellenir. Doküman güncelliği çalışmaları KVK Yöneticisi tarafından koordine edilir.

  1.     Düzenli olarak her yıl,
  2.     KVKK ile ilgili yeni çıkan bir yasa ve yönetmeliğin, tebliğin, KVK Kurul kararının, ilgili mevzuat değişikliğinin politika dokümanı içeriğin etkilemesi,
  1.       KVKK.DK06 Kişisel Verilerin Korunması Kurumu tarafından yayınlanan rehber, ilke ve kararlar
  2.       KVKK.DK07 Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler)
  3.       KVKK.DK08 Kişisel Verilerin Korunması Hakkında Yasal Mevzuat
  4.    KVKK.DK09 TS ISO/IEC 27001:2013 Bilgi Teknolojisi-Güvenlik Teknikleri-Bilgi Güvenliği Yönetim Sistemleri-Gereksinimler