Özel Nitelikli Kişisel Verilerin Yönetimi ve Korunması Politikası



1. Amaç

İşbu Özel Nitelikli Kişisel Verilerin İşlenmesi ve Korunması Politikası (“Politika”), Mesleki Yeterlilik Kurumu ( dokümanda bundan sonra “MYK” anılacaktır )  ’nın özel nitelikli kişisel veri işleme faaliyetlerine yönelik MYK tarafından benimsenen ve uygulanan yöntemler ve kurallar konusunda açıklamalarda bulunmak amacı ile oluşturulmuştur.

2. Kapsam

Bu doküman, MYK tarafından ve MYK adına kişisel veri işlenen tüm özel nitelikli kişisel veri işleme süreçlerini kapsar. Tüm MYK çalışanları ve MYK’ya hizmet veren/hizmetlerin verilmesinde görevlendirilen gerçek kişiler; bu politikayı bilmek ve tanımlanan kurallara uymakla yükümlüdür.

Bu politikanın kapsamına gerçek kişiye ilişkin her türlü Özel Nitelikli Kişisel Veri dahildir ve bu dokümanda belirtilen kurallar, MYK’nın Veri Sorumlusu olduğu özel nitelikli kişisel verileri kapsar. Bu veriler fiziksel veya elektronik ortamlarda bulunabilir. 

Bu kapsamda MYK tarafından Daire Başkanlıkları’ndan sorumlu kişilerden oluşan Kişisel Verilerin Yönetimi ve Korunması Komitesi kurulmuş olup KVKK uyum çalışmaları Komite tarafından yürütülmektedir.

3. Uygulama

KVKK süreçlerinin işletilmesinde uyulması gereken esaslar aşağıdaki başlıklarda açıklanmıştır. Mesleki Yeterlilik Kurumu’nun iş faaliyetleri kapsamında MYK çalışanlarının, temas/iletişim kurulan tüm ilgili kişilerin kişisel verilerinin korunması ve işlenmesi için sorumlulukları kapsamında, kişisel verilerin işlenmesine ilişkin belirlenen ilkeler, ilgili yasal düzenlemelere uyum sağlanarak, kişisel veri yönetimi faaliyetlerini sürdürmesi için gerekli temel kurallar tanımlanmıştır.

4. Kısaltmalar ve Tanımlar

KVKK dokümanları içerisinde kullanılan kısaltmalar ve tanımlar KVKK.KL01 KVKK Kısaltmalar ve Tanımlar Kılavuzu’nda yer almaktadır.

5. Görev ve Sorumluluk

İşbu Politika’nın hazırlanması ve güncel tutulması ile MYK’daki faaliyetlerin Politika’ya uygun gerçekleştirildiğinin denetlenmesi faaliyetlerinden KVK Komitesi sorumludur. KVK Komitesi’nin görev ve sorumlukları KVKK.GT.01 Kişisel Verilerin Yönetimi ve Korunması Komitesi Görev Tanımları’nda belirtilmektedir.

6. Politika İçeriği

6.1. Özel Nitelikli Kişisel Verilerin İşlenmesine ve Korunmasına İlişkin Yükümlülükler

MYK veya Veri İşleyenleri tarafından Özel Nitelikli Kişisel Verilerin işlenmesinde aşağıdaki kurallar uygulanır.

6.1.1. Kişisel Veri İşleme İlkelerine Uygunluk

Özel Nitelikli Kişisel Verilerin işlenmesinde aşağıdaki ilkelere uygun hareket edilir:

  •      Özel Nitelikli Kişisel Verilerin işlenmesinde hukuka ve dürüstlük kurallarına uygun hareket edilir.
  •      İşlenen Özel Nitelikli Kişisel Verilerin doğru ve güncel olmasını sağlamak için Özel Nitelikli Kişisel Verilerin işleme süreçlerinde gerekli tedbirler alınır. Özel Nitelikli Kişisel Verileri işlenen İlgili Kişi’ye verilerini güncellemesi ve varsa işlenen verilerindeki hataları düzeltmesi için başvuruda bulunma imkanı tanınır.
  •      Özel Nitelikli Kişisel Veriler belirli, açık ve meşru amaçlarla, kapsamı ve içeriği açıkça belirlenmiş, mevzuat ve iş süreçlerinin devamlılığını sağlamak için belirlenen meşru amaçlar dahilinde işlenir.
  •      Özel Nitelikli Kişisel Veriler belirlenen amaçlarla bağlantılı, sınırlı ve ölçülü olarak işlenir. Bu kapsamda veri minimizasyonu ilkesi uyarınca MYK, Özel Nitelikli Kişisel Veri işlerken işleme amacı ile ilgili olmayan ve işleme süreci için işlenmesi gerekli/zorunlu olmayan hiçbir Özel Nitelikli Kişisel Veriyi işlemez.
  •      Özel Nitelikli Kişisel Veriler ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilir. Bu süreler sona erdiğinde Özel Nitelikli Kişisel Verilerin işlenmesine Kanun’da öngörülen yöntemler uyarınca son verilmelidir. Kişisel verilerin imhasına ilişkin hususlar KVKK.PL02 Kişisel Verileri Saklama ve İmha Politikası’nda belirlenir.

6.2. Aydınlatma Yükümlülüğü

Kanun’un 10. maddesinde yer alan aydınlatma yükümlülüğü uyarınca MYK veya Veri İşleyenleri, Özel Nitelikli Kişisel Veri işlemeden önce veya en geç işlenmesi sırasında aşağıdaki hususlarda İlgili Kişi’leri aydınlatır.

  •      Veri sorumlusu olarak MYK’nın kimliği (Mesleki Yeterlilik Kurumu)
  •      Kişisel verilerin hangi amaçla işleneceği, 
  •      İşlenen Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
  •      Verileri toplama yöntemi ve hukuki sebebini,
  •      İlgili Kişi’lerin Kanun’un 11.maddesinde yer alan hakları

Aydınlatmanın yapılmasında bir şekil şartı olmamakla birlikte, aydınlatma yükümlülüğünün yerine getirildiğini ispat yükümlülüğü Veri Sorumlusu olarak MYK’da olduğundan, Özel Nitelikli Kişisel Veri işleme süreci kurgulanırken aydınlatma yükümlülüğünün yerine getirildiğini ispatlayıcı önlemler alınır.

Bu önlemler aydınlatmanın yapılma yöntemine göre değişiklik gösterebilir. (Örn. Basılı evrak ile aydınlatma yapıldığı durumlarda İlgili Kişiler’den aydınlatma metninin sonunda imzası alınabilir, sesli ortamda aydınlatma yapılması halinde ilgili ses kaydı saklanabilir veya dijital ortamlarda aydınlatma yapıldığı durumlarda aydınlatma yapıldığını kanıtlar dijital log kayıtları saklanabilir.)

Özel Nitelikli Kişisel Verilerin işlenme amaçlarının değişmesi durumunda İlgili Kişiler’e yeni kişisel veri işleme amacına ilişkin aydınlatma yapılır.

Ayrıca, Özel Nitelikli Kişisel Verilerin doğrudan ilgili kişilerden elde edilmediği durumlarda (örn. üçüncü kişi bir veri sorumlusundan Özel Nitelikli Kişisel Veri alınması) da MYK tarafından aydınlatma yükümlülüğü;

  •      Özel Nitelikli Kişisel Verilerin elde edilmesinden itibaren makul bir süre içerisinde,
  •      Özel Nitelikli Kişisel Verilerin ilgili kişi ile iletişim amacıyla kullanılacak olması durumunda, ilk iletişim kurulması esnasında,
  •      Özel Nitelikli Kişisel Verilerin aktarılacak olması halinde, en geç Özel Nitelikli Kişisel Verilerin ilk kez aktarımının yapılacağı esnada

yerine getirilir.

Kanun madde 2/8 uyarınca ise, İlgili Kişi’nin kendisi tarafından alenileştirilmiş Özel Nitelikli Kişisel Verilerlerin işlenmesine ilişkin olarak veri sorumlusu olarak MYK’nın aydınlatma yükümlülüğü olmadığından aydınlatma yapılmaz. Ancak İlgili Kişi’nin Kişisel verilerini alenileştirme amacı ile kişisel veri işleme amacı uyumlu olmalıdır. Bu nedenle aydınlatma yapılmasına ilişkin istisnaya tabi olunup olunmadığı hususunda tereddüt yaşanması halinde kişisel veri işleme sürecine başlamadan önce KVK Yöneticisi’ne ve/veya KVK Kurulu’na danışılır.

6.3. Özel Nitelikli Kişisel Verilerin İşlenme Şartları (Veri İşlemenin Hukuki Sebepleri)

Özel Nitelikli Kişisel Veriler, kural olarak kişinin “açık rıza” sının varlığı halinde işlenebilir. Bununla birlikte sağlık ve cinsel hayat dışındaki Özel Nitelikli Kişisel Veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak;

  •      kamu sağlığının korunması, 
  •      koruyucu hekimlik, 
  •      tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, 
  •      sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, 

sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilecektir.

Yukarıda işleme şartlarından herhangi birinin mevcut olmaması halinde Özel Nitelikli Kişisel Veriler işlenemez, bu işleme şartlarından biri başta mevcut olmasına rağmen sonradan ortadan kalkarsa ilgili Özel Nitelikli Kişisel Veri işleme sürecine son verilir.

Özel Nitelikli Kişisel Veri işleme sürecinin hukuki sebebinin tespitinde tereddüt yaşanması halinde KVK Yöneticisi’ne ve/veya KVK Kurulu’na danışılır.

6.4. Özel Nitelikli Kişisel Verilerin Aktarımı

Özel Nitelikli Kişisel Verilerin aktarımı, MYK veya Veri İşleyenleri tarafından işlenen kişisel verilerin MYK dışındaki yurt içindeki veya yurt dışındaki gerçek veya tüzel kişilere aktarımıdır.

MYK’nin bağlı olduğu şirketlere ve grup şirketlerine Özel Nitelikli Kişisel Veri aktarımının da Kişisel Veri aktarımı sayıldığı ve Özel Nitelikli Kişisel Verilerin aktarımına ilişkin kurallara tabi olduğu göz önünde bulundurulur. MYK içindeki daire başkanlıkları arası Özel Nitelikli Kişisel Veri aktarımı veya paylaşımı ise Kişisel verilerin aktarımı sayılmadığından Özel Nitelikli Kişisel Verilerin aktarılmasına ilişkin kurallara tabi değildir.

6.4.1. Özel Nitelikli Kişisel Verilerin Aktarım Şartları

Özel Nitelikli Kişisel Veriler, kural olarak kişinin “açık rıza” sının varlığı halinde aktarılabilir. Bununla birlikte sağlık ve cinsel hayat dışındaki Özel Nitelikli Kişisel Veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın aktarılabilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak;

  •      kamu sağlığının korunması, 
  •      koruyucu hekimlik, 
  •      tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, 
  •      sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, 

sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın aktarılabilecektir.

Özel Nitelikli Kişisel Verilerin yurt dışındaki üçüncü kişilere aktarımı ise ayrıca düzenlenmiştir.

Buna göre Özel Nitelikli Kişisel Veriler;

  •      İlgili Kişi’nin yurt dışına Özel Nitelikli Kişisel Veri aktarımına ilişkin açık rıza vermesi veya
  •      Özel Nitelikli Kişisel verilerin açık rıza dışındaki diğer üçüncü kişilere aktarım şartlarından birinin varlığı ve Kişisel verinin aktarılacağı yabancı ülkede; 
  •      Yeterli korumanın bulunması, 
  •      Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurul’un izninin bulunması halinde 

ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir. Yeterli korumaya sahip ülkelere yapılacak aktarımlar için bu ülkenin Kurul tarafından ilan edilen (eğer ilan edilmişse) “yeterli korumaya sahip ülkeler” arasında yer alıp almadığı kontrol edilir. 

MYK’nin Özel Nitelikli Kişisel Veri işleme süreçlerine ilişkin bilgilere Envanter’de yer verilir ve güncelliği belirli periyotlarda gözden geçirilir. MYK’nin mevcut Özel Nitelikli Kişisel Veri işleme süreçlerinde bir değişiklik olması halinde Envanter’de ilgili kişisel veri işleme süreci uygun şekilde güncellenir. MYK’de yeni bir Özel Nitelikli Kişisel Veri işleme sürecine başlanacak olması halinde ise ilgili Özel Nitelikli Kişisel Veri işleme süreci Envanter’e uygun şekilde işlenir. Bu değişiklik, KVK Komite Üyeleri, Veri İşleyen veya Çalışanlar’ın bildirimi üzerine KVK Yöneticisi tarafından yapılır. KVK Yöneticisi, bu değişikliğe ilişkin olarak ihtiyaç duyması halinde KVK Komitesi’ne ve/veya KVK Kurulu’na danışabilir.

Envanter’de yapılacak olası bir değişikliğin MYK’nin  VERBİS’e beyan etmiş olduğu kişisel veri işleme süreçlerine ilişkin bilgilerde değişiklik yapılmasını gerektirip gerektirmediği ilgili kişisel veri işleme sürecini yürüten KVK Yöneticisi ve KVK Kurulu tarafından kontrol edilir. VERBİS’e beyan edilen bilgilerde güncelleme yapılması gerektiği sonucuna varılması halinde değişiklik, değişikliğin meydana geldiği tarihten itibaren yedi gün içerisinde KVK Yöneticisi tarafından İrtibat Kişisi aracılığıyla VERBİS’e işlenir. KVK Yöneticisi, bu değişikliğe ilişkin olarak ihtiyaç duyması halinde KVK Komitesi’ne ve/veya KVK Kurulu’na danışabilir. 

6.6. Veri Güvenliği’ne ilişkin Yükümlülükler

MYK, Özel Nitelikli Kişisel Verileri işlerken:

  •      Özel Nitelikli Kişisel Verilerin hukuka aykırı olarak işlenmesini önlemek,
  •      Özel Nitelikli Kişisel Veriler e hukuka aykırı olarak erişilmesini önlemek ve
  •      Özel Nitelikli Kişisel Verilerin muhafazasını sağlamak

amacıyla uygun güvenlik düzeyini temin etmeye yönelik her türlü teknik ve idari tedbirleri alır.

6.6.1. Çalışanlara Yönelik Önlemler

Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara düzenli olarak eğitimler verilir, gizlilik sözleşmeleri yapılır, verilere erişim yetkisine sahip kullanıcıların yetki kapsamları ve süreleri net olarak tanımlanır, periyodik olarak yetki kontrolleri gerçekleştirilir, görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerinin derhal kaldırılması ve bu kapsamda veri sorumlusu tarafından kendisine tahsis edilen envanterin iade alınması, teknolojik güvenlik ürünlerinin kullanılması ve etkinliğinin test edilmesi yönünde gerekli önlemler alınmaktadır.

6.6.2. Özel Nitelikli Kişisel Veri İçerebilecek Belgeler

Özel Nitelikli Kişisel Veri İşleme süreçleri mümkün olduğunca en aza indirilir. Bir kişisel veri işleme sürecinde kimlik fotokopisi kullanılması gerekiyorsa, bu süreçte eski kimlik fotokopilerinin arka yüz fotokopisi alınmaz, eğer kimlik fotokopisinin arka yüzü alınmışsa burada bulunan kan grubu bilgisi ve din bilgisine ilişkin kısımlar karartılır. Bir kişisel veri işleme sürecinde eski tip ehliyet fotokopisi kullanılacaksa bu belgenin kan grubu bilgisi içeren sureti alınmaz, alınmışsa kan grubu bilgisine ilişkin kısım karartılır.

6.6.3. Özel Nitelikli Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak için Alınan Teknik Tedbirler

MYK bünyesinde gerçekleştirilen Özel Nitelikli Kişisel Veri işleme faaliyetleri kurulan teknik sistemlerle denetlenmektedir.

Alınan teknik ve idari tedbirlerin uygulandığı periyodik iç tetkiklerle kontrol edilir ve raporlanır.

Teknik konularda alanında eğitim görmüş ya da yetişmiş personel istihdam edilmektedir.

6.6.4. Özel Nitelikli Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak için Alınan İdari Tedbirler 

MYK tarafından Özel Nitelikli Kişisel Veriler’in hukuka uygun işlenmesini sağlamak için alınan başlıca idari tedbirler aşağıda sıralanmaktadır:

  •      Çalışanlar için Kişisel Verilerin Korunması Kanunu ve Bilgi Güvenliği kapsamında farkındalık çalışmaları ve farkındalık eğitimleri düzenlenmektedir.
  •      MYK ile çalışanlar ve 3. kişiler arasındaki hukuki ilişkiyi yöneten sözleşme ve belgelere, Özel Kişisel Veri’leri işlememe, ifşa etmeme ve kullanmama yükümlülüğü getiren kayıtlar konulmakta ve denetimler yürütülerek Kanun’dan doğan yükümlülükler yerine getirilmektedir.

6.6.5. Özel Nitelikli Kişisel Verilerin Aktarılmasında Uyulacak Teknik ve İdari Tedbirler

MYK, Özel nitelikli kişisel verilerin aktarılmasına ilişkin gerekli teknik ve idari tedbirleri alır. 

6.6.5.1. Özel Nitelikli Kişisel Verilerin Aktarılmasında Alınan Teknik Tedbirler

Verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılır.

Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veri aktarım işlemi gerçekleştirilir.

Verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınması ve evrakın “gizlilik dereceli belgeler” formatında gönderilmektedir.

6.6.5.2. Özel Nitelikli Kişisel Verilerin Aktarılmasında Alınan İdari Tedbirler

Kişisel verilerin aktarılacağı Alıcı Taraf ile standart kişisel veri işleme sözleşmesi imzalanır.

6.6.6. Özel Nitelikli Kişisel Verilerin Hukuka Aykırı Erişimini Engellemek için Alınan Teknik ve İdari Tedbirler

MYK, Özel Nitelikli Kişisel Verilere yetkisiz erişim sağlanması, paylaşılması veya başka şekillerdeki tüm hukuka aykırı erişimi önlemek için uygulama gerekliliği ve maliyetine göre teknik ve idari tedbirleri alır.

6.6.6.1. Özel Nitelikli Kişisel Verilerin Hukuka Aykırı Erişimini Engellemek için Alınan Teknik Tedbirler

MYK tarafından Özel Nitelikli Kişisel Veriler’in hukuka aykırı erişimini engellemek için alınan başlıca teknik tedbirler aşağıda sıralanmaktadır:

  •      Erişim yetkileri sınırlandırılmıştır ve yetkiler periyodik olarak gözden geçirilmektedir.
  •      Alınan teknik önlemler periyodik olarak iç denetim tetkiklerle kontrol edilerek ilgilisine raporlanmakta, risk teşkil eden hususlar yeniden değerlendirilerek düzeltici faaliyet çerçevesinde gerekli çözüm üretilmektedir.
  •      MYK ile ilişkisi sona eren personellerin erişim yetkileri kapatılarak Kişisel Verilere erişim yetkileri ortadan kaldırılır.

6.6.6.2. Özel Nitelikli Kişisel Verilerin Hukuka Aykırı Erişimini Engellemek için Alınan İdari Tedbirler

MYK tarafından Özel Nitelikli Kişisel Veriler’in hukuka aykırı erişimini engellemek için alınan başlıca idari tedbirler aşağıda sıralanmaktadır:

  •      Çalışanlar için KVK Kanunu ve Bilgi Güvenliği kapsamında farkındalık çalışmaları ve farkındalık eğitimleri düzenlenmektedir.
  •      İş birimi ve süreç bazında yetki matrisleri hazırlanmış ve yetkilendirmeler yetki matrisine göre yapılmıştır. Verilen yetkiler düzenli olarak kontrol edilerek yetki matrisinin güncel tutulması konusunda gerekli hassasiyet gösterilmektedir.
  •      Çalışanlar, öğrendikleri Kişisel Verileri Kanun hükümlerine aykırı olarak başkasına açıklayamayacağı ve işleme amacı dışında kullanamayacağı ve bu yükümlülüğün görevden ayrılmalarından sonra da devam edeceği konusunda bilgilendirilmekte ve bu doğrultuda kendilerinden gerekli taahhütler alınmaktadır.
  •      MYK tarafından Özel Nitelikli Kişisel Veriler’in hukuka uygun olarak aktarıldığı kişiler ile akdedilen sözleşmelere Kanun’a uyumluluk için gerekli tedbirlerin alındığına ve MYK’nin belirlediği politikaların uygulandığına dair denetim uygulanacağı eklenmektedir.

6.6.7. Özel Nitelikli Kişisel Verilerin Saklanması

MYK, Özel Nitelikli Kişisel Veriler’in güvenli ortamlarda saklanması ve veri bütünlüğünün bozulmaması, yetkisiz erişimlerin engellenmesi, hukuka aykırı amaçlarla yok edilmesini ve kaybolmasını önlemek için uygulama gerekliliği ve maliyetine göre teknik ve idari tedbirler almaktadır.

6.6.7.1. Özel Nitelikli Kişisel Verilerin Saklanması için Alınan Teknik Tedbirler

MYK tarafından Özel Nitelikli Kişisel Veriler’in güvenli ortamlarda saklanması için alınan başlıca teknik tedbirler aşağıda sıralanmaktadır:

  •      Özel Nitelikli Kişisel Veriler’in güvenli ortamlarda saklanması için teknolojik gelişmelere uygun sistemler kullanılmaktadır.
  •      Özel Nitelikli Kişisel Verinin saklandığı alanlara göre fiziksel ya da yazılımsal güvenlik sistemleri kurulmakta, bilişim altyapısı üzerindeki güvenlik zafiyetlerinin tespitine yönelik güvenlik testleri yapılmakta, yapılan test sonucunda tespit edilen mevcut ya da muhtemel risk teşkil eden hususlar düzeltici faaliyet kapsamında giderilmektedir. Alınan teknik ve idari tedbirlerin uygulandığı periyodik iç tetkiklerle kontrol edilir ve raporlanır.
  •      Özel Nitelikli Kişisel Veriler’in tutulduğu ortamlara yetki matrisine göre yetki verilerek ve veriye erişim kısıtlanarak yalnızca yetkili kişilerin bu verilere erişmesine izin verilmekte, Kişisel Veriler’in bulunduğu veri depolama alanlarına erişimler loglanarak uygunsuz erişimler veya erişim denemeleri ilgililere anlık olarak iletilmektedir.
  •      Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise verilerin bulunduğu ortamda muhafaza edilmesi, veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarının güvenli olarak loglanması, verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmelerinin yapılması yönünde gerekli önlemler alınmaktadır. 
  •      Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise özel nitelikli kişisel verilerin bulunduğu ortamın yetkisiz erişime karşı korunmalı (kilitli ortam, kartlı geçiş sistemi) ve doğal afetlere karşı önlemlerin (yangın ve ısı sensörü) alındığını teyit edilmektedir. 

6.6.7.2. Özel Nitelikli Kişisel Verilerin Saklanması için Alınan İdari Tedbirler

MYK tarafından Özel Nitelikli Kişisel Veriler’in güvenli ortamlarda saklanması için alınan başlıca idari tedbirler aşağıda sıralanmaktadır:

  •      Çalışanlar için Kişisel Verilerin Korunması Kanunu ve Bilgi Güvenliği kapsamında farkındalık çalışmaları ve farkındalık eğitimleri düzenlenmektedir.
  •      MYK tarafından Özel Nitelikli Kişisel Veriler’in hukuka uygun olarak aktarıldığı kişiler ile akdedilen sözleşmelere Kişisel Verilerin Koruma Kanunu’na uyumluluk için gerekli tedbirlerin alındığına ve MYK’nin belirlediği politikaların uygulandığına dair denetim yapılacağı eklenmektedir.

6.6.8. Özel Nitelikli Kişisel Verilerin Korunması Konusunda Alınan Tedbirlerin Denetimi

MYK, Kanun’un 12. maddesine uygun olarak, periyodik iç tetkikler gerçekleştirmekte ve raporlamaktadır. İç tetkik ile tespit edilen uygunsuzluklar ve riskler düzeltici faaliyet kapsamında değerlendirilerek önleyici faaliyetler uygulanmaktadır.

7. Özel Nitelikli Kişisel Veri İhlali Halinde Alınacak Tedbirler

MYK tarafından Kanun’un 12. maddesine uygun olarak işlenen Özel Nitelikli Kişisel Veriler’in kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde “KVKK.TL01 Kişisel Veri İhlal Olayı (Vaka) Bildirimi Talimatı”nda yer alan kurallar ve talimat adımları uygulanır.

8. Özel Nitelikli Kişisel Verilerin Saklama Süresi ve İmhası

MYK, Özel Nitelikli Kişisel Veriler’i süresiz olarak değil, ancak Özel Nitelikli Kişisel Veriler ile ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza eder. MYK’nin her bir kişisel veri işleme süreçleri ile ilgili olarak: 

  •      Süreçlere bağlı olarak gerçekleştirilen faaliyetler kapsamındaki tüm Özel Nitelikli Kişisel Veriler le ilgili kişisel veri bazında saklama süreleri MYK Envanteri’nde,
  •      Veri kategorileri bazında saklama süreleri VERBİS’e girilen kayıtlarda,
  •      Kurum Arşivi tarafından oluşturulan dokümanlarda,
  •      Süreç bazında saklama süreleri ise KVKK.PL02 Kişisel Veri Saklama ve İmha Politikası’nda yer alır.

MYK, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde Özel Nitelikli Kişisel Verileri resen veya İlgili Kişi’nin talebi üzerine siler, yok eder veya anonim hale getirir. Özel Nitelikli Kişisel Veriler imha edilirken KVKK.PL02 Kişisel Veri Saklama ve İmha Politikası’nda yer alan kural ve talimatlara uygun hareket edilir.

9. MYK’ya Yapılacak İlgili Kişi Başvuruları

İlgili Kişiler, MYK’ya başvurarak Kanun’un 11. maddesinde sayılan aşağıdaki haklarını ileri sürebilir:

  1.      Kişisel veri işlenip işlenmediğini öğrenme, 
  2.      Kişisel verileri işlenmişse buna ilişkin bilgi talep etme, 
  3.      Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, 
  4.      Yurt içinde veya yurt dışında Kişisel verilerin aktarıldığı üçüncü kişileri bilme, 
  5.      Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, 
  6.      Kişisel verilerin silinmesini veya yok edilmesini isteme,
  7.      (d) ve (e) bentleri uyarınca yapılan işlemlerin, Kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  8.      İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, 
  9.      Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme, 

İlgili Kişi başvurularının yöntemi, başvuruların hangi kanallardan kabul edileceği, başvurunun Kanun’a uygun olup olmadığının denetlenmesinde esas alınacak kriterler, başvurulara cevap verme usulü ve süresi, başvurunun sonuçlandırılması, başvurunun reddi halinde İlgili Kişi’nin Kurul’a şikayette bulunma hakkına ilişkin detay ve kurallar KVKK.PR02 İlgili Kişi Başvuruları ve Şikayetlerine ilişkin Prosedürü’nde yer almaktadır.

Olası bir İlgili Kişi başvurusu veya Kurul’a yapılacak şikayetlerde KVKK.PR02 İlgili Kişi Başvuruları ve Şikayetlerine ilişkin Prosedürü’nde belirtilen süreç uygulanır. 

10. Yaptırım(lar)

10.1. MYK’nın Karşılaşabileceği Yaptırımlar

KVKK.PL01 Kişisel Verilerin Yönetimi ve Korunması Politikası’nda yer almaktadır.

10.2. MYK Çalışanlarının Karşılaşabileceği Yaptırımlar

İşbu metinde yer alan hususlara kısmen ya da tamamen uyum sağlamayan Çalışanlar için MYK’nın Disiplin Süreci işletilir.

MYK işbu metin başta olmak üzere KVKK kapsamındaki kuralların en iyi şekilde anlaşılması ve gündelik iş süreçlerinde bu kuralların uygulama alanı bulması adına,  çalışanlarına yönelik olarak gerekli eğitim modüllerini yürütmeye başlayacaktır.

11. Dokümanın Güncelliği

Bu doküman aşağıdaki koşullarla gözden geçirilir ve gerektiğinde güncellenir. Doküman güncelliği çalışmaları KVK Yöneticisi tarafından koordine edilir.

  1.        Düzenli olarak her yıl,
  2.      KVKK ile ilgili yeni çıkan bir yasa ve yönetmeliğin, tebliğin, KVK Kurul kararının, ilgili mevzuat değişikliğinin politika dokümanı içeriğin etkilemesi,

 

  1.      KVKK.DK04 Veri Sorumluları Sicili Hakkında Yönetmelik (30 Aralık 2017 tarihli Resmî Gazete Sayı : 30286)
  2.      KVKK.DK05 6698 Sayılı Kanuna dayanılarak çıkarılacak sair ikincil mevzuat
  3.      KVKK.DK06 Kişisel Verilerin Korunması Kurumu tarafından yayınlanan rehber, ilke ve kararlar
  4.      KVKK.DK07 Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler)
  5.      KVKK.DK08 Kişisel Verilerin Korunması Hakkında Yasal Mevzuat
  6.      KVKK.DK09 TS ISO/IEC 27001:2013 Bilgi Teknolojisi-Güvenlik Teknikleri-Bilgi Güvenliği Yönetim Sistemleri-Gereksinimler