İşbu Özel Nitelikli Kişisel Verilerin İşlenmesi ve Korunması Politikası (“Politika”), Mesleki Yeterlilik Kurumu ( dokümanda bundan sonra “MYK” anılacaktır ) ’nın özel nitelikli kişisel veri işleme faaliyetlerine yönelik MYK tarafından benimsenen ve uygulanan yöntemler ve kurallar konusunda açıklamalarda bulunmak amacı ile oluşturulmuştur.
Bu doküman, MYK tarafından ve MYK adına kişisel veri işlenen tüm özel nitelikli kişisel veri işleme süreçlerini kapsar. Tüm MYK çalışanları ve MYK’ya hizmet veren/hizmetlerin verilmesinde görevlendirilen gerçek kişiler; bu politikayı bilmek ve tanımlanan kurallara uymakla yükümlüdür.
Bu politikanın kapsamına gerçek kişiye ilişkin her türlü Özel Nitelikli Kişisel Veri dahildir ve bu dokümanda belirtilen kurallar, MYK’nın Veri Sorumlusu olduğu özel nitelikli kişisel verileri kapsar. Bu veriler fiziksel veya elektronik ortamlarda bulunabilir.
Bu kapsamda MYK tarafından Daire Başkanlıkları’ndan sorumlu kişilerden oluşan Kişisel Verilerin Yönetimi ve Korunması Komitesi kurulmuş olup KVKK uyum çalışmaları Komite tarafından yürütülmektedir.
KVKK süreçlerinin işletilmesinde uyulması gereken esaslar aşağıdaki başlıklarda açıklanmıştır. Mesleki Yeterlilik Kurumu’nun iş faaliyetleri kapsamında MYK çalışanlarının, temas/iletişim kurulan tüm ilgili kişilerin kişisel verilerinin korunması ve işlenmesi için sorumlulukları kapsamında, kişisel verilerin işlenmesine ilişkin belirlenen ilkeler, ilgili yasal düzenlemelere uyum sağlanarak, kişisel veri yönetimi faaliyetlerini sürdürmesi için gerekli temel kurallar tanımlanmıştır.
KVKK dokümanları içerisinde kullanılan kısaltmalar ve tanımlar KVKK.KL01 KVKK Kısaltmalar ve Tanımlar Kılavuzu’nda yer almaktadır.
İşbu Politika’nın hazırlanması ve güncel tutulması ile MYK’daki faaliyetlerin Politika’ya uygun gerçekleştirildiğinin denetlenmesi faaliyetlerinden KVK Komitesi sorumludur. KVK Komitesi’nin görev ve sorumlukları KVKK.GT.01 Kişisel Verilerin Yönetimi ve Korunması Komitesi Görev Tanımları’nda belirtilmektedir.
MYK veya Veri İşleyenleri tarafından Özel Nitelikli Kişisel Verilerin işlenmesinde aşağıdaki kurallar uygulanır.
Özel Nitelikli Kişisel Verilerin işlenmesinde aşağıdaki ilkelere uygun hareket edilir:
Kanun’un 10. maddesinde yer alan aydınlatma yükümlülüğü uyarınca MYK veya Veri İşleyenleri, Özel Nitelikli Kişisel Veri işlemeden önce veya en geç işlenmesi sırasında aşağıdaki hususlarda İlgili Kişi’leri aydınlatır.
Aydınlatmanın yapılmasında bir şekil şartı olmamakla birlikte, aydınlatma yükümlülüğünün yerine getirildiğini ispat yükümlülüğü Veri Sorumlusu olarak MYK’da olduğundan, Özel Nitelikli Kişisel Veri işleme süreci kurgulanırken aydınlatma yükümlülüğünün yerine getirildiğini ispatlayıcı önlemler alınır.
Bu önlemler aydınlatmanın yapılma yöntemine göre değişiklik gösterebilir. (Örn. Basılı evrak ile aydınlatma yapıldığı durumlarda İlgili Kişiler’den aydınlatma metninin sonunda imzası alınabilir, sesli ortamda aydınlatma yapılması halinde ilgili ses kaydı saklanabilir veya dijital ortamlarda aydınlatma yapıldığı durumlarda aydınlatma yapıldığını kanıtlar dijital log kayıtları saklanabilir.)
Özel Nitelikli Kişisel Verilerin işlenme amaçlarının değişmesi durumunda İlgili Kişiler’e yeni kişisel veri işleme amacına ilişkin aydınlatma yapılır.
Ayrıca, Özel Nitelikli Kişisel Verilerin doğrudan ilgili kişilerden elde edilmediği durumlarda (örn. üçüncü kişi bir veri sorumlusundan Özel Nitelikli Kişisel Veri alınması) da MYK tarafından aydınlatma yükümlülüğü;
yerine getirilir.
Kanun madde 2/8 uyarınca ise, İlgili Kişi’nin kendisi tarafından alenileştirilmiş Özel Nitelikli Kişisel Verilerlerin işlenmesine ilişkin olarak veri sorumlusu olarak MYK’nın aydınlatma yükümlülüğü olmadığından aydınlatma yapılmaz. Ancak İlgili Kişi’nin Kişisel verilerini alenileştirme amacı ile kişisel veri işleme amacı uyumlu olmalıdır. Bu nedenle aydınlatma yapılmasına ilişkin istisnaya tabi olunup olunmadığı hususunda tereddüt yaşanması halinde kişisel veri işleme sürecine başlamadan önce KVK Yöneticisi’ne ve/veya KVK Kurulu’na danışılır.
Özel Nitelikli Kişisel Veriler, kural olarak kişinin “açık rıza” sının varlığı halinde işlenebilir. Bununla birlikte sağlık ve cinsel hayat dışındaki Özel Nitelikli Kişisel Veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak;
sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilecektir.
Yukarıda işleme şartlarından herhangi birinin mevcut olmaması halinde Özel Nitelikli Kişisel Veriler işlenemez, bu işleme şartlarından biri başta mevcut olmasına rağmen sonradan ortadan kalkarsa ilgili Özel Nitelikli Kişisel Veri işleme sürecine son verilir.
Özel Nitelikli Kişisel Veri işleme sürecinin hukuki sebebinin tespitinde tereddüt yaşanması halinde KVK Yöneticisi’ne ve/veya KVK Kurulu’na danışılır.
Özel Nitelikli Kişisel Verilerin aktarımı, MYK veya Veri İşleyenleri tarafından işlenen kişisel verilerin MYK dışındaki yurt içindeki veya yurt dışındaki gerçek veya tüzel kişilere aktarımıdır.
MYK’nin bağlı olduğu şirketlere ve grup şirketlerine Özel Nitelikli Kişisel Veri aktarımının da Kişisel Veri aktarımı sayıldığı ve Özel Nitelikli Kişisel Verilerin aktarımına ilişkin kurallara tabi olduğu göz önünde bulundurulur. MYK içindeki daire başkanlıkları arası Özel Nitelikli Kişisel Veri aktarımı veya paylaşımı ise Kişisel verilerin aktarımı sayılmadığından Özel Nitelikli Kişisel Verilerin aktarılmasına ilişkin kurallara tabi değildir.
Özel Nitelikli Kişisel Veriler, kural olarak kişinin “açık rıza” sının varlığı halinde aktarılabilir. Bununla birlikte sağlık ve cinsel hayat dışındaki Özel Nitelikli Kişisel Veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın aktarılabilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak;
sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın aktarılabilecektir.
Özel Nitelikli Kişisel Verilerin yurt dışındaki üçüncü kişilere aktarımı ise ayrıca düzenlenmiştir.
Buna göre Özel Nitelikli Kişisel Veriler;
ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir. Yeterli korumaya sahip ülkelere yapılacak aktarımlar için bu ülkenin Kurul tarafından ilan edilen (eğer ilan edilmişse) “yeterli korumaya sahip ülkeler” arasında yer alıp almadığı kontrol edilir.
MYK’nin Özel Nitelikli Kişisel Veri işleme süreçlerine ilişkin bilgilere Envanter’de yer verilir ve güncelliği belirli periyotlarda gözden geçirilir. MYK’nin mevcut Özel Nitelikli Kişisel Veri işleme süreçlerinde bir değişiklik olması halinde Envanter’de ilgili kişisel veri işleme süreci uygun şekilde güncellenir. MYK’de yeni bir Özel Nitelikli Kişisel Veri işleme sürecine başlanacak olması halinde ise ilgili Özel Nitelikli Kişisel Veri işleme süreci Envanter’e uygun şekilde işlenir. Bu değişiklik, KVK Komite Üyeleri, Veri İşleyen veya Çalışanlar’ın bildirimi üzerine KVK Yöneticisi tarafından yapılır. KVK Yöneticisi, bu değişikliğe ilişkin olarak ihtiyaç duyması halinde KVK Komitesi’ne ve/veya KVK Kurulu’na danışabilir.
Envanter’de yapılacak olası bir değişikliğin MYK’nin VERBİS’e beyan etmiş olduğu kişisel veri işleme süreçlerine ilişkin bilgilerde değişiklik yapılmasını gerektirip gerektirmediği ilgili kişisel veri işleme sürecini yürüten KVK Yöneticisi ve KVK Kurulu tarafından kontrol edilir. VERBİS’e beyan edilen bilgilerde güncelleme yapılması gerektiği sonucuna varılması halinde değişiklik, değişikliğin meydana geldiği tarihten itibaren yedi gün içerisinde KVK Yöneticisi tarafından İrtibat Kişisi aracılığıyla VERBİS’e işlenir. KVK Yöneticisi, bu değişikliğe ilişkin olarak ihtiyaç duyması halinde KVK Komitesi’ne ve/veya KVK Kurulu’na danışabilir.
MYK, Özel Nitelikli Kişisel Verileri işlerken:
amacıyla uygun güvenlik düzeyini temin etmeye yönelik her türlü teknik ve idari tedbirleri alır.
Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara düzenli olarak eğitimler verilir, gizlilik sözleşmeleri yapılır, verilere erişim yetkisine sahip kullanıcıların yetki kapsamları ve süreleri net olarak tanımlanır, periyodik olarak yetki kontrolleri gerçekleştirilir, görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerinin derhal kaldırılması ve bu kapsamda veri sorumlusu tarafından kendisine tahsis edilen envanterin iade alınması, teknolojik güvenlik ürünlerinin kullanılması ve etkinliğinin test edilmesi yönünde gerekli önlemler alınmaktadır.
Özel Nitelikli Kişisel Veri İşleme süreçleri mümkün olduğunca en aza indirilir. Bir kişisel veri işleme sürecinde kimlik fotokopisi kullanılması gerekiyorsa, bu süreçte eski kimlik fotokopilerinin arka yüz fotokopisi alınmaz, eğer kimlik fotokopisinin arka yüzü alınmışsa burada bulunan kan grubu bilgisi ve din bilgisine ilişkin kısımlar karartılır. Bir kişisel veri işleme sürecinde eski tip ehliyet fotokopisi kullanılacaksa bu belgenin kan grubu bilgisi içeren sureti alınmaz, alınmışsa kan grubu bilgisine ilişkin kısım karartılır.
MYK bünyesinde gerçekleştirilen Özel Nitelikli Kişisel Veri işleme faaliyetleri kurulan teknik sistemlerle denetlenmektedir.
Alınan teknik ve idari tedbirlerin uygulandığı periyodik iç tetkiklerle kontrol edilir ve raporlanır.
Teknik konularda alanında eğitim görmüş ya da yetişmiş personel istihdam edilmektedir.
MYK tarafından Özel Nitelikli Kişisel Veriler’in hukuka uygun işlenmesini sağlamak için alınan başlıca idari tedbirler aşağıda sıralanmaktadır:
MYK, Özel nitelikli kişisel verilerin aktarılmasına ilişkin gerekli teknik ve idari tedbirleri alır.
Verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılır.
Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veri aktarım işlemi gerçekleştirilir.
Verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınması ve evrakın “gizlilik dereceli belgeler” formatında gönderilmektedir.
Kişisel verilerin aktarılacağı Alıcı Taraf ile standart kişisel veri işleme sözleşmesi imzalanır.
MYK, Özel Nitelikli Kişisel Verilere yetkisiz erişim sağlanması, paylaşılması veya başka şekillerdeki tüm hukuka aykırı erişimi önlemek için uygulama gerekliliği ve maliyetine göre teknik ve idari tedbirleri alır.
MYK tarafından Özel Nitelikli Kişisel Veriler’in hukuka aykırı erişimini engellemek için alınan başlıca teknik tedbirler aşağıda sıralanmaktadır:
MYK tarafından Özel Nitelikli Kişisel Veriler’in hukuka aykırı erişimini engellemek için alınan başlıca idari tedbirler aşağıda sıralanmaktadır:
MYK, Özel Nitelikli Kişisel Veriler’in güvenli ortamlarda saklanması ve veri bütünlüğünün bozulmaması, yetkisiz erişimlerin engellenmesi, hukuka aykırı amaçlarla yok edilmesini ve kaybolmasını önlemek için uygulama gerekliliği ve maliyetine göre teknik ve idari tedbirler almaktadır.
MYK tarafından Özel Nitelikli Kişisel Veriler’in güvenli ortamlarda saklanması için alınan başlıca teknik tedbirler aşağıda sıralanmaktadır:
MYK tarafından Özel Nitelikli Kişisel Veriler’in güvenli ortamlarda saklanması için alınan başlıca idari tedbirler aşağıda sıralanmaktadır:
MYK, Kanun’un 12. maddesine uygun olarak, periyodik iç tetkikler gerçekleştirmekte ve raporlamaktadır. İç tetkik ile tespit edilen uygunsuzluklar ve riskler düzeltici faaliyet kapsamında değerlendirilerek önleyici faaliyetler uygulanmaktadır.
MYK tarafından Kanun’un 12. maddesine uygun olarak işlenen Özel Nitelikli Kişisel Veriler’in kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde “KVKK.TL01 Kişisel Veri İhlal Olayı (Vaka) Bildirimi Talimatı”nda yer alan kurallar ve talimat adımları uygulanır.
MYK, Özel Nitelikli Kişisel Veriler’i süresiz olarak değil, ancak Özel Nitelikli Kişisel Veriler ile ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza eder. MYK’nin her bir kişisel veri işleme süreçleri ile ilgili olarak:
MYK, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde Özel Nitelikli Kişisel Verileri resen veya İlgili Kişi’nin talebi üzerine siler, yok eder veya anonim hale getirir. Özel Nitelikli Kişisel Veriler imha edilirken KVKK.PL02 Kişisel Veri Saklama ve İmha Politikası’nda yer alan kural ve talimatlara uygun hareket edilir.
İlgili Kişiler, MYK’ya başvurarak Kanun’un 11. maddesinde sayılan aşağıdaki haklarını ileri sürebilir:
İlgili Kişi başvurularının yöntemi, başvuruların hangi kanallardan kabul edileceği, başvurunun Kanun’a uygun olup olmadığının denetlenmesinde esas alınacak kriterler, başvurulara cevap verme usulü ve süresi, başvurunun sonuçlandırılması, başvurunun reddi halinde İlgili Kişi’nin Kurul’a şikayette bulunma hakkına ilişkin detay ve kurallar KVKK.PR02 İlgili Kişi Başvuruları ve Şikayetlerine ilişkin Prosedürü’nde yer almaktadır.
Olası bir İlgili Kişi başvurusu veya Kurul’a yapılacak şikayetlerde KVKK.PR02 İlgili Kişi Başvuruları ve Şikayetlerine ilişkin Prosedürü’nde belirtilen süreç uygulanır.
KVKK.PL01 Kişisel Verilerin Yönetimi ve Korunması Politikası’nda yer almaktadır.
İşbu metinde yer alan hususlara kısmen ya da tamamen uyum sağlamayan Çalışanlar için MYK’nın Disiplin Süreci işletilir.
MYK işbu metin başta olmak üzere KVKK kapsamındaki kuralların en iyi şekilde anlaşılması ve gündelik iş süreçlerinde bu kuralların uygulama alanı bulması adına, çalışanlarına yönelik olarak gerekli eğitim modüllerini yürütmeye başlayacaktır.
Bu doküman aşağıdaki koşullarla gözden geçirilir ve gerektiğinde güncellenir. Doküman güncelliği çalışmaları KVK Yöneticisi tarafından koordine edilir.