KVKK Özel Nitelikli Kişisel Veri Yönetimi Politikası

A.   KAPSAM

  1.      İşbu Özel Nitelikli Kişisel Veri Yönetimi Politikası (“Politika”)Abacı Kart (“Şirket”) bünyesinde kişisel verileri işleyen herhangi bir sürece dâhil olan ve Türkiye’de faaliyet gösteren iştirakleri içerisinde yer alan tüm departmanları, çalışanları ve 3. partileri kapsamaktadır.
  2.      İşbu Politika; Şirket’in özel nitelikli kişisel verilerin güvenliğine yönelik kuralları tanımlayacak ve bu alandaki yönetimi sağlayacak tüm faaliyetleri kapsayacak olup, bunu sürdürmek adına her adımda uygulanacaktır.
  3.      İşbu Politika özel nitelikli kişisel veri olmayan veriler hakkında uygulanmayacaktır.
  4.      Konuyla alakalı yeni mevzuatın belirlenmesi veya ilgili mevzuatın güncellenmesi durumunda,  Şirket politikasını ilgili mevzuata uyumlu olacak şekilde güncelleyerek mevzuat gerekliliklerine uyacaktır.
  5.      İşbu Politika’nın Şirket tarafından uygulanmasında hukuki bir engel olduğuna kanaat getirdiği durumlarda, Şirket uygulayacağı adımları, gerek görmesi durumunda Hukuk Bölümü’ne ve Üst Yönetime danışarak, İşbu Politika’yı yeniden belirleyebilecektir.

B.   TANIMLAR

Kanun

6698 Sayılı Kişisel Verilerin Korunması Kanunu’dur.

Yönetmelik

Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Haline Getirilmesi Hakkında Yönetmelik’tir.

İlgili Karar

“Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” ile ilgili Kişisel Verileri Koruma Kurulu’nun 31.01.18 tarihli, 2018/10 sayılı kararıdır.

Kurul

Kişisel Verileri Koruma Kurulu’dur.

Kayıt ortamı

 

Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortama verilen addır.

Kişisel veri

 

 

 

 

Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir ve kişinin fiziksel, ekonomik, kültürel, sosyal veya psikolojik kimliğini ifade eden somut bir içerik taşıması veya kimlik, vergi numarası gibi herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm hallerini kapsar.

Kişisel veri işleme envanteri

 

Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçlarını, veri kategorisini, aktarılan alıcı grubunu ve veri konusunu kişi grubuyla ilişkilendirerek oluşturan ve detaylandıran envanterdir.

Özel nitelikli kişisel veri

 

İşbu kanunda belirtilen özel nitelikli kişisel veriler, işlenmeleri halinde sahipleri hakkında ayrımcılık yapılmasına neden olma riski taşıyan verilerdir.

Sicil

Başkanlık tarafından tutulan Veri Sorumluları Sicilidir (VERBİS).

Veri kayıt sistemi

Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemidir.

Veri Sorumlusu

Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir.

Alıcı grubu

Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisidir.

İlgili kullanıcı

Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişilerdir.

Kişisel Verilerin Korunması Politikası ve Kurum bünyesinde oluşturulmuş KVK Gizlilik Politikası, Kişisel Veri Aktarım Politikası ve Veri Saklama ve İmha Politikası içerisinde bulunan tanımlar işbu Politika için de geçerlidir.

C.    AMAÇ VE KAPSAM

İşbu Politika, Kanunun 6.maddesi uyarınca oluşturulan Yönetmelik içerisinde yer alan “Özel Nitelikli Kişisel Verilerin İşlenme Şartları” sorumlu olan gerçek veya tüzel kişiler hakkında uygulanacak ve Şirketile Şirket’in sözleşmesel olarak sorumlu kıldığı üçüncü kişiler tarafından uyulması gereken esasları belirleyecektir.

Kişisel Verileri Koruma Kurulu’nun 07.03.2018 tarihli Resmi Gazete’de yayımlanan, 31.01.2018 tarihli Kararı uyarınca Şirket, Sicile kayıt yükümlülüğü olan bir Veri Sorumlusu olarak, uhdesinde bulunan özel nitelikli kişisel verileri; kişisel veri işleme envanterine uygun bir şekilde saklamaktan, bu verilerin güvenliğine yönelik kuralları tanımlamaktan ve yönetimini sağlayacağı tüm faaliyetleri kapsayarak, bunu sürdürmek adına uygulayacak bir Politika hazırlayarak bu Politikaya uygun hareket etmekten yükümlüdür.

Kişisel verilerin saklanması ve imhasında aşağıdaki ilkeler geçerli olacaktır:

a) Kanunun 4 üncü maddesindeki genel ilkelere uyulacaktır.

b) Şirket, işbu Politikayı hazırlamış olmanın tek başına kişisel verilerin Yönetmelik, Kanun ve ilgili mevzuata uygun olarak silindiği, yok edildiği veya anonim hale getirildiği anlamına gelmeyeceğini kabul etmektedir.

c) Şirket, kişisel verileri saklarken yahut silerken, yok ederken veya anonim hale getirirken, Kanunun 12. Maddesinde yer alan güvenlik tedbirlerine, ilgili mevzuatta yer alan hükümlere, Kişisel Verileri Koruma Kurulu’nun alacağı kararlara, Veri Güvenliği Rehberi’nde belirtilen İdari ve Teknik Tedbirlere ve Politikaya uygun hareket edeceğini kabul, beyan ve taahhüt eder.

d) Şirket, bünyesinde bulundurduğu kişisel verilerin amacı tamamen veya kısmen otomatik olan ya da herhangi bir kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin silinmesi, yok edilmesi veya anonimleştirilmesi sırasında; İşbu Politika’ya bağlı olarak uygulanacak araç, program ve süreçlere uygunluk sağlayacağını taahhüt eder.

D.    KAYIT ORTAMLARI

Şirket,  İşbu Politika ile kişisel veri içeren ve aşağıda sayılmış olan ortamlar ve bunlara ek olarak ortaya çıkabilecek diğer ortamlardaki kişisel verileri Politikanın kapsamına dahil etmeyi kabul eder.

a)Şirketadına kullanılan bilgisayarlar / sunucular

b)Ağ cihazları,

c)Ağ üzerinde veri saklanması için kullanılan paylaşımlı / paylaşımsız disk sürücüleri,

d)Mobil telefonlar ve içerisindeki tüm saklama alanları,

e)Kağıt,

f)  Optik diskler,

g)Flash hafızalar.

E.    ÖZEL NİTELİKLİ KİŞİSEL VERİ

a.     Özel Nitelikli Kişisel Veri İşlenmesine İlişkin Genel İlkeler

Şirket, kişisel verilerin güvenli bir şekilde saklanması ile hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile ilgili gerekli her türlü teknik ve idari tedbirleri alır.

Şirket, kişisel verileri Kanun’da belirtildiği şekle aykırı olarak işlemeyeceğini taahhüt eder.

Şirket, Kanun’un 6. Maddesi 3.fıkrasındaki özel nitelikli kişisel verilerin işlenmesi şartlarındaki istisnalar mevcut olmadığı sürece;

a)    Kanun’da belirtilen istisnalar dışında açık rızasını almadığı kişilerin özel nitelikli kişisel verilerini saklaması yasaktır.

b)    Şirket, özel nitelikli kişisel verileri sakladığı durumlarda, verileri ilgili mevzuata bağlı kalarak Şirket’in İnsan Kaynakları Bölümü’nün ve Şirket KVKK Çalışma Grubu’nun bilgisi dâhilinde açık rıza alınması durumunda işler.

b.    Şirket Tarafından İşlenen Özel Nitelikli Kişisel Veriler

Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, dini, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik verileri kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir durumdadır.

Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir durumdadır.

Kişisel veriler Şirket bünyesinde veri sahiplerinden alınan açık rıza aracılığıyla işlenmekte olup, bu veriler ancak işbu Politikanın ‘Özel Nitelikli Kişisel Verilerin İşlenmesine İlişkin Genel İlkeler’  bölümünde belirtilen kontroller çerçevesinde işlem görmektedir. Şirket ile veri sahibi arasındaki ilişkinin türüne ve niteliğine, kullanılan iletişim kanallarına ve bahsi geçen amaç bilgisine bağlı olarak çeşitlenmekte ve farklılaşmaktadır. Bu veriler Kişisel Veri İşleme envanteri içerisinde belirtilmiştir.

c.     Özel Nitelikli Kişisel Verilerin İşlenme Amaçları

Kişisel veriler, Kişisel Veri İşleme envanteri içerisinde belirtilen amaçlar kapsamında işlenebilmekte olup, bu amaçların ve ilgili yasal sürelerin öngördüğü müddetçe saklanabilmektedir.

 

d.    Özel Nitelikli Kişisel Verilerin Aktarılması

Şirket, işbu Politikanın ‘Özel Nitelikli Kişisel Verilerin İşlenme Amaçları’ bölümünde örneklendirilen amaçlar çerçevesinde ve KVKK’nın 8 ve 9’uncu maddeleri uyarınca yurt içi ve yurt dışı veri aktarımı yapmaktadır ve kişisel veriler bu kapsamda kullanılan sunucu ve elektronik ortamlarda işlenerek saklanabilmektedir. Şirket tarafından hazırlanmış Kişisel Veri İşleme Envanterinde veri aktarımı gerçekleşen taraflar ve veri aktarım amaçları detaylı bir şekilde belirtilmiştir. Yapılan bu aktarımların niteliği ve paylaşım yapılan taraflar, Veri Sahibi ile Şirket arasındaki ilişki türüne ve niteliğine, aktarımın amacına ve ilgili yasal dayanağa bağlı olarak değişmekte olup, bu kapsamda Şirket tarafından KVK Gizlilik Politikası içerisinde tanımlanmış olan tedbirler, uygulama esas usulleri ve bu çerçevede alınacak olan aksiyonlar geçerlidir.

Kişisel Verileri Koruma Kurulu’nun 07.03.2018 tarihli Resmi Gazete’de yayımlanan, 31.01.2018 tarihli Kararı uyarınca Şirket, özel nitelikli kişisel verileri aktaracak ise;

  •          Verilerin e-posta yoluyla aktarılması gerekiyorsa, şifreli olarak kurumsal e-posta adresi ile veya kayıtlı elektronik posta (KEP) hesabı kullanılarak aktarılır.
  •          Taşınabilir bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmesi ve kriptografik anahtarın farklı ortamda tutulur.
  •          Farklı fiziksel ortamlardaki sunucular arasında, aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya SFTP yöntemi ile veri aktarımının gerçekleştirilir.
  •          Verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa, evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınması ve evrakın gizlilik dereceli belgeler formatında gönderilir.

e.     Veri İşleme Şartlarının Ortadan Kalkması

Şirket, özel nitelikli kişisel veri işlenme şartlarının güncelliğinden sorumludur ve bu sorumluluğunu tüm çalışanları ile paylaşır.

Çalışanlar, veri işlenme şartlarının ortadan kalktığı durumlarda veri işlemeye devam edemez. Şirket, şartların ortadan kalktığı ortamları ilgili iş birimlerinin ya da KVKK Komitesi/Çalışma Grubu’nun talebi üzerine İşbu Politika’ya uygun bir şekilde ortadan kaldırmakla yükümlüdür. 

Şirket aşağıda örnek olarak listelenen ve Yönetmelik içinde de belirtilen ilgili durumlarda özel nitelikli kişisel veri işlenme şartlarının ortadan kalktığını kabul eder:

a)    Kişisel verilerin işlenmesini gerektiren amacın ortadan kalkması,

b)    Kişisel verileri işlemenin hukuka veya dürüstlük kuralına aykırı olması,

c)     Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması.

Bu kapsamda Şirket tarafından Kişisel Veri Saklama ve İmha Politikası içerisinde tanımlı olan tedbirler, uygulama esas usulleri ve bu çerçevede alınacak olan aksiyonlar geçerlidir.

f.      Özel Nitelikli Kişisel Verilerin Güvenliği

Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır. Kişisel Verileri Koruma Kurulu’nun 07.03.2018 tarihli Resmi Gazete’de yayımlanan, 31.01.2018 tarihli Kararı uyarınca aşağıdaki şekilde belirlenmiştir.  

  •     Özel nitelikli kişisel verilerin işlendiği süreçlerde yer alan çalışanlara yönelik Kanun, alt mevzuat ve Kurul’un yayımlayacağı her tür karar ve rehber ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitim verilir.
  •     Söz konusu çalışanlar ile Veri Sorumlusu arasında gizlilik sözleşmeleri yapılır.
  •     Verilere erişim yetkisine sahip kullanıcıların yetki kapsamları ve süreleri net olarak tanımlanır.
  •     Periyodik olarak yetki kontrolleri gerçekleştirilir.
  •      Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerinin derhal kaldırılması, bu kapsamda, veri sorumlusu tarafından kendisine tahsis edilen envanterin iade alınması gerekmektedir. Bu durumda Şirket, tarafından onaylanmış envanterin güncellenmesine ilişkin prosedür gereğince belirlenmiş ilkelere uyum geçerlidir.

Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise;

  •     Veriler kriptografik yöntemler kullanılarak muhafaza edilir,
  •     Kriptografik anahtarlar güvenli ve farklı ortamlarda tutulur,
  •     Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarının denetim izleri tutulur ve söz konusu denetim izlerinin güvenliği sağlanır,
  •     Verilerin bulunduğu ortamlara ait güvenlik güncellemeleri sürekli olarak takip edilir, gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması ve tespitlere ilişkin aksiyon planlarının oluşturulması sağlanır,
  •     Verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait uygun kullanıcı yetkilendirmelerinin yapılması, bu yazılımların güvenlik testlerinin düzenli olarak gerçekleştirilmesi/yaptırılması, test sonuçlarının kayıt altına alınması ve tespitlere ilişkin aksiyon planlarının oluşturulması sağlanır,
  •     Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sistemi sağlanır.

Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise

  •      Özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alındığından emin olunur,
  •     Bu ortamların fiziksel güvenliğinin sağlanarak yetkisiz giriş çıkışlar engellenir.

F.    POLİTİKA YÜRÜRLÜK VE GÜNCELLEMELER

İşbu Politika Şirket Yönetimi tarafından onaylandığı tarihte yürürlüğe girecektir. Politikada yapılacak değişiklikler ve bu değişikliklerin yürürlüğe konulması konusunda gereken çalışmalar Hukuk, İK ve KVKK Çalışma Grubu tarafından yapılacak ve değişiklikler Şirket Yönetimi onayından sonra yürürlüğe girecektir.

Ancak mevzuat değişiklikleri, atıf yapılan bir teknik standarttaki değişme, Kişisel Verileri Koruma Kurulu’nun işlemleri ve/veya vereceği kararlar ile mahkeme kararları doğrultusunda Şirket bu Politikayı gözden geçirme ve gerekli durumlarda Politikayı güncelleme, değiştirme veya ortadan kaldırıp yeni bir Politika oluşturma hakkını saklı tutar.

Şirket, Politika üzerinde yaptığı değişiklikler incelenebilecek olacak şekilde güncellenen Politika’yı e-posta yolu ile çalışanlarıyla paylaşacaktır.

Politika, olağan olarak yılda bir defa gözden geçirilerek güncellenir. Politikanın yürürlükten kaldırılmasına ilişkin olarak karar verme yetkisi Şirket Yönetim ’ne aittir.

 

G.    POLİTİKA’NIN YÜRÜRLÜK TARİHİ

İşbu Politika 21.01.2020 tarihinde yürürlüğe girmiştir.