1.AMAÇ VE KAPSAM
Kişisel Verileri Koruma Kurulu ’nun 07.03.2018 tarihli Resmi Gazetede yayımlanan 31.01.2018 tarihli kararı Katmerciler Araç Üstü Ekipman Sanayi Ve Ticaret A.Ş. (“Katmerciler”) Sicile kayıt yükümlülüğü olan bir veri sorumlusu olarak, bünyesinde bulunan özel nitelikli kişisel verileri; kişisel verileri işleme envanterine uygun bir şekilde saklamakla, bu verilerin güvenliğine yönelik kuralları tanımlamakla ve yönetimini sağlayacağı bütün faaliyetleri kapsayarak, bunu sürdürmek adına uygulanacak bir politika hazırlayarak bu politikaya uygun hareket etmekle yükümlüdür.
İşbu politika ile Katmerciler bünyesinde işlenen özel nitelikli kişisel verilerin işlenmesi, saklanması, aktarılması ve güvenliğinin sağlanması hakkında usul ve esasların belirlenmesi amacıyla hazırlanmış olup yürürlük tarihinden itibaren belirli periyodlarla güncellenecektir.
6698 Sayılı Kişisel Verilerin Korunması Kanunu ’nun 6 ncı maddesince kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.
Bu verilerin korunması için genel nitelikli kişisel verilerden farklı ve daha sıkı şartlar öngörülmüştür.
2.ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ
Özel nitelikli kişisel veriler, Katmerciler tarafından Kanuna uygun bir şekilde, Kurulca belirlenecek yeterli önlemlerin alınması kaydıyla, aşağıdaki şartların varlığı halinde işlenmektedir:
Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerin, ilgili kişinin açık rızası ile veya kanunlarda öngörülen haller dahilinde açık rıza aranmaksızın işlenmesi mümkündür.
Veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ilgili kişinin açık rızası ile, ilgili kişinin rızası yoksa ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenebilir.
Şirketimiz bünyesinde; özel nitelikli veri olarak ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler çalışanların işe uygunluğunun anlaşılabilmesi ve iş sözleşmesinin ifa edilebilmesi gibi; sağlık verileri, İş Kanunu, İş Sağlığı ve Güvenliği gibi kanunlarda öngörülen yükümlülüklerin yerine getirilebilmesi veya acil durum, pandemi süreçleri gibi olağanüstü durumlar olması halinde aşağıda detaylı olarak belirtilen işleme amaçları kapsamında halinde işlenmektedir. Bu kapsamda ilgili kişilere gerekli aydınlatmalar yapılmakta, gerekli ise açık rızalarının bulunup bulunmadığı sorulmaktadır.
3.ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENME AMAÇLARI
Özel nitelikli kişisel veriler;
Kanunlarda açıkça öngörülmesinin yanında ilgili kişinin hayatı ve beden bütünlüğünün korunması için zorunlu olan hallerde; sözleşmenin kurulabilmesi ve işe yeterliliğin işveren tarafından belirlenebilmesi adına sözleşmenin ifa edilebilirliğinin ölçülebilmesi için, veri sahibinin fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda olması, çalışanlar için yan haklar ve menfaatleri süreçlerinin yürütülmesi ve çalışan adaylarının başvuru süreçlerinin yürütülmesi kapsamında işlenebilmekte olup;
Sağlık verileri acil durum yönetimi süreçleri gibi iş sağlığı ve güvenliği faaliyetlerinin yürütülmesi amaçlarıyla birlikte 6331 sayılı İş Sağlığı ve Güvenliği Kanunu ve 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu ve sair kanunlar gereğince iş yeri hekiminden veya verisi işlenen ilgili kişiden yazılı şekilde toplanmaktadır. Söz konusu kişisel veri hukuki ilişkinin bitiminden itibaren 15 yıl süreyle,
Ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler işe alım süreçlerinde ilgili kişiden fiziki, yazılı veya elektronik ortamlar aracılığı ile toplanmakta ve kurulan hukuki ilişkinin bitiminden itibaren 10 yıl süre ile saklanmaktadır.
İnternet sitesinde yer alan hissedar/ortaklara ilişkin , siyasi geçmiş ve dernek vakıf üyelikleri gibi özel nitelikli kişisel veriler herkese açık olarak web sitelerinde kişilerin açık rızasının alınması suretiyle işlenir.
Çalışanın özlük dosyasında yer alan , izin süreçlerinin yürütülmesi için işlenen sağlık raporları, doğum izni raporları gibi sağlık verileri iş akdinin sona ermesinden itibaren 10 yıl geçmesi ile imha edilmektedir.
Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, ilgili kişinin açık rızasıyla veya kanunlarda açıkça öngörülmesi halinde veri sahibinin açık rıza aranmaksızın işlenebilecektir.
Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza aranmaksızın işlenebilecektir.
4.ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN ÖNLEMLER
Bu çerçevede, Kanunun 22 nci maddesinin (1) numaralı fıkrasının (ç) ve (e) bentleri uyarınca Katmerciler tarafından aşağıda sayılan önlemler alınmaktadır;
Özel nitelikli kişisel verilerin güvenliğine yönelik sistemli, kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir ayrı bir politika işbu metin ile belirlenmiştir.
Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik;
Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilmektedir.
Çalışanlar ile Katmerciler rasında gizlilik sözleşmeleri akdedilmektedir.
Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamları ve süreleri net olarak tanımlanmaktadır.
Yılda bir defa periyodik olarak yetki kontrollerinin gerçekleştirilmektedir.
Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerinin derhal kaldırılmakta; bu kapsamda veri sorumlusu tarafından kendisine tahsis edilen envanter iade alınmaktadır.
Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise;
Veriler kriptografik yöntemler kullanılarak muhafaza edilmekte,
Kriptografik anahtarlar güvenli ve farklı ortamlarda tutulmakta,
Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtları güvenli olarak loglanmaktadır.
Verilerin bulunduğu ortamlara ait güvenlik güncellemeleri sürekli takip edilmekte, gerekli güvenlik testleri düzenli olarak yapılmakta ve test sonuçları kayıt altına alınmaktadır.
Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sistemi sağlanmaktadır.
Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise;
Özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre olası bir afet ya da beşeri olaylar için yeterli güvenlik önlemleri alınmaktadır.
Bu ortamların fiziksel güvenliğinin sağlanarak yetkisiz giriş çıkışların engellenmektedir.
Özel nitelikli kişisel veriler aktarılacaksa;
Verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılmaktadır.
Taşınabilir bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenip kriptografik anahtarlar farklı ortamda tutulmaktadır.
Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımının gerçekleştirilmektedir.
Verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınıp evrak “Gizlilik Dereceli Belgeler” formatında gönderilmektedir.
Yukarıda belirtilen önlemlerin yanı sıra Kişisel Verileri Koruma Kurumunun internet sitesinde yayımlanan Kişisel Veri Güvenliği Rehberinde belirtilen uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirler de dikkate alınmaktadır.
5.ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN AKTARILMASI
Katmerciler hukuka uygun olan kişisel veri işleme amaçları doğrultusunda gerekli güvenlik önlemlerini alarak kişisel veri sahibinin kişisel verilerini ve özel nitelikli kişisel verilerini aşağıdaki şartların varlığı halinde üçüncü kişilere aktarabilmektedir:
Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, ilgili kişinin açık rızasıyla veya kanunlarda açıkça öngörülmesi halinde aktarılabilecektir.
Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlara aktarılabilecektir.
Ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler kanunlarda öngörülmesi halinde yetkili kamu kurum ve kuruluşlarına aktarılabilecektir.
Yukarıda belirtilen önlemlerin yanı sıra Kişisel Verileri Koruma Kurumunun internet sitesinde yayımlanan Kişisel Veri Güvenliği Rehberinde belirtilen uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirler de dikkate alınmaktadır.
6.ALICI GRUPLARI
Katmercilerde işlenen özel nitelikli kişisel veriler, talep edilmesi, acil durumlar olması veya kanunlarda öngörülen bir durum olması halinde yetkili kamu kurum ve kuruluşları ve İşyeri Hekimi, yeminli mali müşavir gibi gerçek kişi ve tedarikçi iş sağlığı güvenliği firması gibi tüzel kişilerle , sır saklama yükümlülüğü bulunan kişiler ile işbu sayılan amaçlar ve hukuki sebepler ile gerekli hallerde paylaşabilecektir.
7.YÜRÜRLÜK
İşbu politika yayımlanma tarihi itibari ile yürürlüğe girmiş olup, yukarıda belirlenen usul ve esaslar çerçevesinde yıllık periyodlarla güncellenmektedir.