1. Amaç
İşbu Kişisel Verilerin Yönetimi ve Korunması Politikası (“Politika”), Mesleki Yeterlilik Kurumu ( dokümanda bundan sonra “MYK” anılacaktır ) ’nın kişisel veri işleme faaliyetlerine yönelik MYK tarafından benimsenen ve uygulanan yöntemler ve kurallar konusunda açıklamalarda bulunmak amacı ile oluşturulmuştur.
2. Kapsam
Bu doküman, MYK tarafından ve MYK adına kişisel veri işlenen tüm kişisel veri işleme süreçlerini kapsar. Tüm MYK çalışanları ve MYK’ya hizmet veren/hizmetlerin verilmesinde görevlendirilen gerçek kişiler; bu politikayı bilmek ve tanımlanan kurallara uymakla yükümlüdür.
Bu politikanın kapsamına gerçek kişiye ilişkin her türlü Kişisel Veri dahildir ve bu dokümanda belirtilen kurallar, MYK’nın Veri Sorumlusu olduğu kişisel verileri kapsar. Bu veriler fiziksel veya elektronik ortamlarda bulunabilir.
Bu kapsamda MYK tarafından Daire Başkanlıkları’ndan sorumlu kişilerden oluşan Kişisel Verilerin Yönetimi ve Korunması Komitesi kurulmuş olup KVKK uyum çalışmaları Komite tarafından yürütülmektedir.
3. Uygulama
KVK süreçlerinin işletilmesinde uyulması gereken esaslar aşağıdaki başlıklarda açıklanmıştır. Mesleki Yeterlilik Kurumu’nun iş faaliyetleri kapsamında MYK çalışanlarının, temas/iletişim kurulan tüm ilgili kişilerin kişisel verilerinin korunması ve işlenmesi için sorumlulukları kapsamında, kişisel verilerin işlenmesine ilişkin belirlenen ilkeler, ilgili yasal düzenlemelere uyum sağlanarak, kişisel veri yönetimi faaliyetlerini sürdürmesi için gerekli temel kurallar tanımlanmıştır.
KVKK dokümanları içerisinde kullanılan kısaltmalar ve tanımlar KVKK.KL01 KVKK Kısaltmalar ve Tanımlar Kılavuzu’nda yer almaktadır.
İşbu Politika’nın hazırlanması ve güncel tutulması ile MYK’daki faaliyetlerin Politika’ya uygun gerçekleştirildiğinin denetlenmesi faaliyetlerinden KVK Komitesi sorumludur. KVK Komitesi’nin görev ve sorumlukları KVKK.GT.01 Kişisel Verilerin Yönetimi ve Korunması Komitesi Görev Tanımları’nda belirtilmektedir.
a) MYK, çalışanları dahil olmak üzere, iş faaliyetleri kapsamında temas/iletişim kurulan tüm gerçek kişilerin ve üçüncü kişilerin (Gerçek kişi müşteri/tedarikçi, müşteri/tedarikçinin temas kişisi vb.) Kişisel Verilerini işler.
b) Kişisel verinin işlenmesine aşağıdaki süreçler dahildir;
c) Kişisel Verilerin mevzuata uygun olarak işlenmesi ve bu kapsamda korunması gerekmektedir. Kişisel verinin mevzuata aykırı olacak şekilde işlenmesi ve/veya korunmaması durumunda; MYK’nın mevzuat hükümleri uyarınca cezai ve/veya idari yaptırımlarla karşılaşma riski bulunmaktadır. Bu bağlamda, Kişisel Verilerin işlenmesi ve korunmasına özen gösterilmesi, MYK’nın itibarı için elzemdir.
d) MYK çalışanları, Kişisel verileri işlerken mutlaka aşağıda belirtilen hususlara uygun davranmalıdır.
e) Kişisel Veri İşlenmesine ilişkin genel kurallar burada belirtildiği şekilde olup Kişisel Veri İşlenmesi’ne yönelik detaylar KVKK.PR01 Kişisel Verilerin Yönetimi ve Korunması Prosedürü’nde belirtilmiştir.
Kişisel veriler ancak (i) İlgili Kişinin “açık rızasının” varlığı halinde veya (ii) aşağıdaki işleme sebeplerinden birinin varlığı halinde ise açık rıza olmaksızın işlenebilir:
Yukarıda işleme şartlarından herhangi birinin mevcut olmaması halinde kişisel veriler işlenemez, bu işleme şartlarından biri başta mevcut olmasına rağmen sonradan ortadan kalkarsa ilgili kişisel veri işleme sürecine son verilir.
Kişisel veri işleme sürecinin hukuki sebebinin tespitinde tereddüt yaşanması halinde KVK Yöneticisi’ne ve KVK Kurulu’na danışılır.
Özel nitelikli kişisel verilerin işlenme şartlarına ilişkin olarak ise, KVKK.PL03 Özel Nitelikli Kişisel Veri İşleme Politikası’nda yer alan kurallar uygulanır.
Kanun’un 10. maddesinde yer alan aydınlatma yükümlülüğü uyarınca MYK veya Veri İşleyenleri, kişisel veri işlemeden önce veya en geç işlenmesi sırasında aşağıdaki hususlarda İlgili Kişileri aydınlatır.
Aydınlatmanın yapılmasında bir şekil şartı olmamakla birlikte, aydınlatma yükümlülüğünün yerine getirildiğini ispat yükümlülüğü Veri Sorumlusu olarak MYK’da olduğundan, kişisel veri işleme süreci kurgulanırken aydınlatma yükümlülüğünün yerine getirildiğini ispatlayıcı önlemler alınır.
Bu önlemler aydınlatmanın yapılma yöntemine göre değişiklik gösterebilir. (Örn. Basılı evrak ile aydınlatma yapıldığı durumlarda İlgili Kişiler’den aydınlatma metninin sonunda imzası alınabilir, sesli ortamda aydınlatma yapılması halinde ilgili ses kaydı saklanabilir veya dijital ortamlarda aydınlatma yapıldığı durumlarda aydınlatma yapıldığını kanıtlar dijital log kayıtları saklanabilir.)
Kişisel verilerin işlenme amaçlarının değişmesi durumunda İlgili Kişiler’e yeni kişisel veri işleme amacına ilişkin aydınlatma yapılır.
Ayrıca, kişisel verilerin doğrudan ilgili kişilerden elde edilmediği durumlarda (örn. üçüncü kişi bir veri sorumlusundan kişisel veri alınması) da MYK tarafından aydınlatma yükümlülüğü;
yerine getirilir.
Kanun m. 28 uyarınca ise, İlgili Kişi’nin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesine ilişkin veri sorumlusu olarak MYK’nın aydınlatma yükümlülüğü olmadığından aydınlatma yapılmaz. Ancak İlgili Kişi’nin kişisel verilerini alenileştirme amacı ile kişisel veri işleme amacı uyumlu olmalıdır. Bu nedenle aydınlatma yapılmasına ilişkin istisnaya tabi olunup olunmadığı hususunda tereddüt yaşanması halinde kişisel veri işleme sürecine başlamadan önce KVK Yöneticisi’ne ve KVK Kurulu’na danışır.
MYK, veri sorumlusu sıfatıyla ve ayrıca veri işleyen sıfatıyla işlenen kişisel veriler tespit edilmeli ve kişisel veri envanterinde tutulmalıdır.
VERBİS kaydında kullanılmak üzere veri sorumlusu sıfatıyla işlenen verilere ilişkin veri envanteri ile bundan ayrı olarak, kişisel verilerin yönetiminin tam ve sağlıklı bir şekilde yapılabilmesini teminen veri işleyen sıfatıyla işlenmekte olan kişisel verilerin de olduğu daha detaylı ayrı bir veri envanteri oluşturulmalıdır.
Oluşturulan veri işleme envanterinin doğru ve eksiksiz bir şekilde VERBİS’e bildirimini gerçekleştirmek adına, ilgili envanterin VERBİS’te mevcut şablona uygun bir şekle getirilmeli ve bu konuda gerekli entegrasyon çalışması gerçekleştirilmelidir.
Oluşturulan kişisel veri envanterinin güncelliği her daim takip edilmeli ve envanterde yer alan kişisel veri işleme süreçlerinden herhangi birinin değişikliğe uğraması durumunda ilgili değişiklik, değişikliğin meydana geldiği tarihten itibaren yedi gün içerisinde KVK Yöneticisi tarafından İrtibat Kişisi aracılığıyla VERBİS’e işlenerek, gerekli güncelleme ile bildirim çalışmaları tamamlanmalıdır. KVK Yöneticisi, bu değişikliğe ilişkin olarak ihtiyaç duyması halinde KVK Kurulu’na danışabilir.
Envanter sürecine yönelik detaylar KVKK.PR01 Kişisel Verilerin Yönetimi ve Korunması Prosedürü’nde belirtilmiştir.
İlgili Kişiler, MYK’ya başvurarak Kanun’un 11. maddesinde sayılan aşağıdaki haklarını ileri sürebilir:
haklarına sahiptir. İlgili kişi bu haklarının bulunduğu hususunda kişisel veri toplanmadan önce aydınlatılmalıdır.
İlgili Kişi başvurularının yöntemi, başvuruların hangi kanallardan kabul edileceği, başvurunun Kanun’a uygun olup olmadığının denetlenmesinde esas alınacak kriterler, başvurulara cevap verme usulü ve süresi, başvurunun sonuçlandırılması, başvurunun reddi halinde İlgili Kişi’nin Kurul’a şikâyette bulunma hakkı ile olası bir İlgili Kişi başvurusu veya Kurul’a yapılacak şikâyetlere ilişkin detaylar KVKK.PR.02 İlgili Kişi Başvuru ve Şikayetlerinin Yönetimi Prosedürü’nde belirtilmiştir.
a. MYK, kişisel verileri işlerken:
amacıyla uygun güvenlik düzeyini temin etmeye yönelik her türlü teknik ve idari tedbirleri alır.
b. MYK, hem veri sorumlusu sıfatıyla hem de veri işleyen sıfatıyla işlemekte olduğu kişisel verilerin - ilgili verinin MYK tarafından işlendiği hallerde - güvenliğinin sağlanmasından sorumludur. Bu kapsamda hukuka aykırı işlemelerin, ele geçirmelerin, paylaşımların önüne geçecek gerekli tüm teknik ve idari tedbirleri almakla ve bunların uygulanıp uygulanmadığını denetlemekle yükümlüdür.
c. MYK kişisel verilerinin güvenliğinin sağlanması için aşağıdaki işlemleri yapacaktır:
d. Kişisel Veri güvenliğine ilişkin genel kural burada belirtildiği şekilde olup Kişisel Verinin güvenliğine yönelik detaylar KVKK.PR01 Kişisel Verilerin Yönetimi ve Korunması Prosedürü’nde belirtilmiştir.
Kanun’da sınırlı bir şekilde sayılı bulunan özel nitelikteki kişisel veriler şunlardır;
Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.
Özel nitelikli kişisel verilerin korunması amacıyla verilerin elektronik ya da fiziksel ortamda tutuluyor olmasına göre ikili bir ayrım yapılmış olup, bu husustaki detaylar ve özel nitelikteki kişisel verilerin korunmasına ilişkin süreç KVKK.PR01 Kişisel Verilerin Yönetimi ve Korunması Proesdürü’nde yer almaktadır.
Ayrıca; Açık rıza, aydınlatma yükümlülüğü, veri aktarımı ve veri güvenliğine ilişkin hususlarda KVKK, özel nitelikli kişisel veriler ile genel nitelikli kişisel veriler açısından ayrı yükümlülükler düzenleme yoluna gittiğinden, MYK bu hususlarda KVKK’nın öngördüğü gereklilikleri yerine getirecektir. Bu gerekliliklerin karşılanması için oluşturulan temel kurallar KVKK.PL03 Özel Nitekli Kişisel Verilerin Yönetimi ve Korunması Politikası’nda yer almaktadır.
Esas olan kişisel verinin işlenme amacıyla bağlantılı ve sınırlı olacak şekilde yetkili kişilerin belirli ve sınırlı olması ve söz konusu veriye erişimin sadece bu kişilerce yapılmalıdır.
Yetkisiz ya da amaç ile bağlantılı olmayan kişilerin veriye erişimi yasaktır.
Tanımlı yetkilinin görevinin değişmesi ya da işten ayrılması hallerinde erişim yetkisi de derhal kaldırılır.
Erişim yetkisi olan kişilerce erişilen verilerin güvenliğinin sağlanmış olması esastır, erişilen veri ilgilisinin bilgi ve onayı dahilinde olan işlenme amaçlarının gerekli kıldığı haller ve bu politikanın 4.3 b maddesinde belirtilen haller haricinde başka ortamlara aktarılamaz, işleme amacı dışında kullanılamaz, aktarımına, kullanımına sebebiyet veren bir eylemde bulunulamaz.
Kişisel Verilerin Erişimi sürecine yönelik detaylı düzenlemeler KVKK.PR01 Kişisel Verilerin Yönetimi ve Korunması Prosedürü’nde belirtilmiştir.
Kişisel veriler ancak (i) İlgili Kişinin “açık rızasının” varlığı halinde veya (ii) aşağıdaki işleme sebeplerinden birinin varlığı halinde aktarılabilir:
Kişisel verilerin yurt dışındaki üçüncü kişilere aktarımı ise ayrıca düzenlenmiştir. Buna göre kişisel veriler;
ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir. Yeterli korumaya sahip ülkelere yapılacak aktarımlar için bu ülkenin KVK Kurul’u tarafından ilan edilen (eğer ilan edilmişse) “yeterli korumaya sahip ülkeler” arasında yer alıp almadığı kontrol edilir.
Özel nitelikli kişisel verilerin aktarımına ilişkin olarak ise KVKK.PL03 Özel Nitelikli Kişisel Veri İşleme Politikası’nda yer alan kurallar uygulanır.
Kişisel Veri Saklama ve İmha sürecine ilişkin genel kural burada belirtildiği şekilde olup sürecine yönelik detaylı düzenlemeler KVKK.PL02 Kişisel Veri Saklama ve İmha Politikası’nda belirtilmiştir.
Ayırıca; Kişisel Veri İhlal Olay (Vaka) Yönetimi’ne yönelik detaylı düzenlemeler KVKK.PR01 Kişisel Verilerin Yönetimi ve Korunması Prosedürü’nde belirtilmiştir.
KVKK uyarınca Kamu Kurum ve Kuruluşlarına idari para cezası uygulanmamaktadır.
İşbu metinde yer alan hususlara kısmen ya da tamamen uyum sağlamayan Çalışanlar için MYK’nın Disiplin Süreci işletilir.
MYK işbu metin başta olmak üzere KVKK kapsamındaki kuralların en iyi şekilde anlaşılması ve gündelik iş süreçlerinde bu kuralların uygulama alanı bulması adına, çalışanlarına yönelik olarak gerekli eğitim modüllerini yürütmeye başlayacaktır.
Bu doküman aşağıdaki koşullarla gözden geçirilir ve gerektiğinde güncellenir. Doküman güncelliği çalışmaları KVK Yöneticisi tarafından koordine edilir.