ÖZEL NİTELİKLİ KİŞİSEL VERİ YÖNETİMİ POLİTİKASI

ÖZEL NİTELİKLİ KİŞİSEL VERİ YÖNETİMİ POLİTİKASI

1.) AMAÇ

Etsun Dış Ticaret A.Ş. (“ETSUN” veya “Veri Sorumlusu”), tüm teknik, ticari ve idari faaliyetleri öncesinde, sırasında veya sonrasında yazılı ya da elektronik ortam üzerinden temin edebildiği “özel nitelikli kişisel verileri” Veri Sorumlusu sıfatıyla, hukuka uygun bir biçimde işlemektedir.

İşbu politikanın amacı, özel nitelikli kişisel verilerin güvenliğine yönelik kuralların tanımlanarak, “ETSUN” bünyesinde özel nitelikli kişisel verileri işleyen herhangi bir sürece dahil olan tüm departmanları, çalışanları ve 3. kişileri bu faaliyetler konusunda bilgilendirmek ve güvenliğinin sürdürülmesi amacıyla her adımda uygulamaktır.

2.) TANIMLAR ve KISALTMALAR

Kanun (KVKK): 6698 Sayılı Kişisel Verilerin Korunması Kanunu.

Yönetmelik: Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Haline Getirilmesi Hakkında Yönetmelik.

İlgili Karar: “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” ile ilgili Kişisel Verileri Koruma Kurulu’nun 31.01.18 tarihli, 2018/10 sayılı kararı.

Kurul: Kişisel Verileri Koruma Kurulu.

Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir.

Kişisel Veri İşleme Envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçlarını, veri kategorisini, aktarılan alıcı grubunu ve veri konusunu kişi grubuyla ilişkilendirerek oluşturan ve detaylandıran envanterdir.

Özel Nitelikli Kişisel Veri: KVKK’da belirtilen özel nitelikli kişisel veriler, işlenmeleri halinde sahipleri hakkında ayrımcılık yapılmasına neden olma riski taşıyan verilerdir. Irka, etnik kökene, siyasi düşüncelere, felsefi inanca, dine, mezhebe veya diğer inançlara, kılık ve kıyafete, dernek, vakıf ya da sendika üyeliklerine, sağlığa, cinsel hayata, ceza mahkûmiyeti ve güvenlik tedbirlerine ve biyometrik verilere ilişkin verileri ifade etmektedir.

Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir.

Alıcı Grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisidir.

İlgili Kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişilerdir.

Politika: Özel Nitelikli Kişisel Veri Yönetimi Politikası.

Veri Sorumlusu bünyesinde oluşturulmuş Kişisel Verilerin Korunması ve Gizlilik Politikası ile Veri Saklama ve İmha Politikası içerisinde bulunan tanımlar işbu Politika için de geçerlidir.

3.) ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİNE ve KORUNMASINA İLİŞKİN USUL ve ESASLAR

3.1.) Özel Nitelikli Veri İşlenmesine İlişkin Genel İlkeler

“ETSUN” tarafından “özel nitelikli kişisel verilerin” işlenmesinde mevzuatta öngörülen düzenlemelere hassasiyetle uygun davranılmaktadır. İlgili karar doğrultusunda ETSUN, uhdesinde bulunan özel nitelikli kişisel verileri; mümkün olan en az surette kayıt altına almaktadır. Bu verileri kişisel veri işleme envanterine uygun bir şekilde saklamak, bu verilerin güvenliğine yönelik kuralları tanımlamak ve yönetimini sağlayacağı tüm faaliyetleri kapsayarak, bunu sürdürmek adına işbu Politika’ya uygun hareket etmek ile yükümlüdür.

3.2.) Özel Nitelikli Kişisel Verilerin İşlenme Şartları

KVKK’nın 6. maddesi 2. fıkrasına göre; Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.

KVKK’nın 6. maddesi 3. fıkrasına göre istisnalar düzenlenmiş olup;

a) Sağlık ve cinsel hayat dışındaki kişisel veriler (yani kişinin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik verileri), kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir.

b) Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

“ETSUN” işlediği tüm özel nitelikli veriler için öncelikli olarak açık rıza almak ilkesini benimsemiştir, ancak yukarıdaki istisnaların geçerli olduğu durumlarda ve açık rıza alamadığı durumlarda özel nitelikli kişisel verileri işleyebilmekte veya daha önce işlediği özel nitelikli kişisel verileri güncelleyebilmektedir.

3.3.) Özel Nitelikli Kişisel Verilerin İşlenme Amaçları

Kişisel veriler, Kişisel Veri İşleme Envanteri içerisinde belirtilen amaçlar kapsamında işlenebilmekte olup, bu amaçların ve ilgili yasal sürelerin öngördüğü müddetçe saklanabilmektedir.

3.4.) Özel Nitelikli Kişisel Verilerin Aktarılması

“ETSUN”, belirlenen amaçlar çerçevesinde ve KVKK’nın 8 ve 9’uncu maddeleri uyarınca yurt içi ve yurt dışı veri aktarımı yapmaktadır ve kişisel veriler bu kapsamda kullanılan sunucu ve elektronik ortamlarda işlenerek saklanabilmektedir.

“ETSUN” tarafından hazırlanmış Kişisel Veri İşleme Envanteri’nde veri aktarımı gerçekleşen taraflar ve veri aktarım amaçları detaylı bir şekilde belirtilmiştir. Yapılan bu aktarımların niteliği ve paylaşım yapılan taraflar, Veri Sahibi ile “ETSUN” arasındaki ilişki türüne ve niteliğine, aktarımın amacına ve ilgili yasal dayanağa bağlı olarak değişmekte olup, bu kapsamda “ETSUN” tarafından Kişisel Verilerin Korunması Politikası içerisinde tanımlanmış olan tedbirler, uygulama esas usulleri ve bu çerçevede alınacak olan aksiyonlar geçerlidir.

3.5.) Özel Nitelikli Kişisel Verilerin İşlenmesine Yönelik Tedbirler

a) Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik tedbirler;

• Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilir.
• Özel nitelikli kişisel veriyi işleyen çalışanlar ile Veri Sorumlusu arasında gizlilik sözleşmeleri yapılır.
• Verilere erişim yetkisine sahip kullanıcıların yetki kapsamları ve süreleri net olarak tanımlanır.
• Periyodik olarak yetki kontrolleri gerçekleştirilir.
• Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerinin derhal kaldırılması, bu kapsamda, veri sorumlusu tarafından kendisine tahsis edilen envanterin iade alınması gerekmektedir.

b) Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise;

• Verilerin kriptografik yöntemler kullanılarak muhafaza edilmesi sağlanır.
• Kriptografik anahtarların güvenli ve farklı ortamlarda tutulması sağlanır.
• Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarının denetim izleri tutulur ve söz konusu denetim izlerinin güvenliği sağlanır.
• Verilerin bulunduğu ortamlara ait güvenlik güncellemeleri sürekli olarak takip edilir, gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması ve tespitlere ilişkin aksiyon planlarının oluşturulması sağlanır.
• Verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait uygun kullanıcı yetkilendirmelerinin yapılması, bu yazılımların güvenlik testlerinin düzenli olarak gerçekleştirilmesi/yaptırılması, test sonuçlarının kayıt altına alınması ve tespitlere ilişkin aksiyon planlarının oluşturulması sağlanır.
• Verilere uzaktan erişim gerekiyorsa kimlik doğrulama sistemi sağlanır.

c) Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise;

• Özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alındığından emin olunur.
• Özel nitelikli kişisel verilerin tutulduğu fiziksel ortamların sadece belirli kişilerde giriş veya açma yetkisi bulunmaktadır.

d) Özel nitelikli kişisel veriler aktarılacaksa;

• Verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle aktarılmalı.
• Taşınır bellek, CD, DVD gibi ortamlar yoluyla aktarılması halinde -gerekli durumlarda- kriptografik yöntemlerle şifrelenmeli, ve kriptografik anahtar farklı ortamda tutulmalı.
• Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya SFTP yöntemiyle veri aktarımının gerçekleştirilmesi gerekmektedir.

3.6.) Veri İşleme Şartlarının Ortadan Kalkması

“ETSUN” veri işlenme şartlarının ortadan kalktığı durumlarda veri işlemeye devam edemez.

Aşağıda örnek olarak listelenen ve Yönetmelik içinde de belirtilen ilgili durumlarda özel nitelikli kişisel veri işlenme şartlarının ortadan kalktığı kabul edilir:

• Kişisel verilerin işlenmesini gerektiren amacın ortadan kalkması.
• Kişisel verileri işlemenin hukuka veya dürüstlük kuralına aykırı olması.
• Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması.

Bu kapsamda ETSUN tarafından Kişisel Veri Saklama ve İmha Politikası içerisinde tanımlı olan tedbirler, uygulama esas usulleri ve bu çerçevede alınacak olan aksiyonlar geçerlidir.

4.) YÜRÜRLÜK ve GÜNCELLEMELER

İşbu Politika, ETSUN Yönetim Kurulu tarafından onaylandığı tarihte yürürlüğe girecektir. Politika’da yapılacak değişiklikler Yönetim Kurulu’nun onayından sonra yürürlüğe geçecektir.

Politika, olağan olarak yılda bir defa gözden geçirilerek güncellenir. Ancak mevzuat değişiklikleri, atıf yapılan bir teknik standarttaki değişme, Kişisel Verileri Koruma Kurulu’nun işlemleri ve/veya vereceği kararlar ile mahkeme kararları doğrultusunda ETSUN, bu Politika’yı gözden geçirme ve gerekli durumlarda Politika’yı güncelleme, değiştirme veya ortadan kaldırıp yeni bir Politika oluşturma hakkını saklı tutar.