A. AMAÇ
Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir. Amaç bu verilerin Kanuna uygun işlenmesini, korunmasını, gerekli hallerde güncellenmesini, ve silinmesini sağlayarak ulusal ve uluslararası yasalara uyum sağlamaktır.
B. KAPSAM
Türk Ticaret Kanunu, İş Kanunu, Kişisel Verilerin Korunması Kanunu gibi faklı kanunlar gereği veya çalışma hayatı için gerekli olması durumunda özel nitelikli kişisel verilerin işlenmesi için manuel veya dijital ortamlar aracılığı ile kişisel veriler/özel nitelikli kişisel verilerin işlenmesi ve korunması ve veri güvenliği süreçlerini kapsar.
C. UYGULAMA
Özel nitelikli kişisel verilerin işlenmesinde Kurul tarafından belirlenen şartların yerine getirilmesi ve Kurul tarafından belirtilen yeterli önlemlerin alınması gerekir.
Özel nitelikli kişisel veriler ile ilgili farkındalığın artırılması için çalışanlara bilgi güvenliği ve kişisel veri güvenliği farkındalık eğitimi, KVKK/GDPR Komitesi’ne ve teknik eğitimler verilir.
İş amacıyla ve kısıtlı olarak alınan özel nitelikli kişisel veriler için aydınlatma yükümlülüğü ve açık rıza beyanları alınır.
Özel nitelikli kişisel veriler için veri işleyenlerle gizlilik sözleşmeleri yapılır.
Özel nitelikli kişisel verilere yetkisiz erişimin engellenmesi için erişim yetki matrisi oluşturulur.
Oluşturulan erişim yetki matrisi aracılığı ile yetkiler sürekli kontrol edilir. Görevden ayrılanların yetkisi kaldırılır.
Özel nitelikli kişisel veriler üzerinde hassas olunması için bu verilere dijital ortamda erişenler zaman zaman log kaydı ile kontrol edilir.
Özel nitelikli kişisel verilerin korunması için güncellemeler, yamalar zamanında gerçekleştirilir.
Özel nitelikli kişisel verilere uzaktan erişim durumunda iki kademeli bir doğrulama oluşturulur.
Özel nitelikli kişisel verilerin bulunduğu ortamlar fiziki ortam ise bu ortamlar üzerindeki fiziki önlemler alınır. Giriş çıkışlar kontrol edilir. Kaza, yangın, sabotaj gibi durumlara karşı önlem alınır.
Özel nitelikli kişisel verilerin bulunduğu odalar, dolaplar vb. kırmızı üçgen işareti ile işaretlenir. Bu alanlara o odada, o alanda çalışan biri olmaksızın, refakatçisiz girilemez.
Özel nitelikli kişisel veriler dijital ortamlar içinde ise: Verilerin kriptografik yöntemler kullanılarak muhafaza edilmesi; Kriptografik anahtarların güvenli ve farklı ortamlarda tutulması; Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarının güvenli olarak loglanması; Verilerin bulunduğu ortamlara ait güvenlik güncellemelerinin sürekli takip edilmesi, gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması; Verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmelerinin yapılması, bu yazılımların güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması; Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sisteminin sağlanması gerekir.
Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise: Özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alındığından emin olunması; Bu ortamların fiziksel güvenliğinin sağlanarak yetkisiz giriş çıkışların engellenmesi gerekir.
Özel nitelikli kişisel veriler aktarılacaksa: Verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılması; Taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmesi ve kriptografik anahtarın farklı ortamda tutulması; Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımının gerçekleştirilmesi; Verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınması ve evrakın “gizlilik dereceli belgeler” formatında gönderilmesi gerekir.
Çalışanların özlük dosyalarında özel nitelikli kişisel veriler yer aldığından klasörlerdeki dosyaların ilk sayfalarına beyaz boş A4 kağıt üzerine kırmızı kaşe ile “KVKK Kişisel Veri, Özel Nitelikli Kişisel Veri” kaşesi vurulur.
Açık rıza verenler eğer açık rızalarını yazılı ve kanunlara uygun olarak geri çekmek için kuruma başvururlarsa başvuru yapan ilgili kişilerin özel nitelikli kişisel verileri kullanılamaz.
D. SORUMLULUKLAR
KVKK/GDPR Sorumlusu: Dokümanın düzenlenmesi ve revize edilmesinden sorumludur.
İnsan Kaynakları Yöneticileri: Kişisel verilerin yasalara uygun olarak alınmasından, işlenmesinden, güncellenmesinden, korunmasından, gerektiğinde silinmesinden, yok edilmesinden sorumludur.
İnsan Kaynakları Çalışanları: Kişisel verilerin yasalara uygun olarak alınmasından, işlenmesinden, güncellenmesinden, korunmasından sorumludur.
Çalışanlar: Bu politikaya uygun davranmaktan sorumludurlar.