Yönetmelik |
Kişisel Verilerin Aktarımı Hakkında yayınlanması beklenen ve yurt dışı aktarımda güvenli ülkeleri belirleyecek olan Yönetmelik’tir. |
İşbu Kişisel Veri Aktarım Politikası (“Politika”), 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun 8 ve 9. maddeleri sonucu ve uyarınca oluşturulacak olan “ilgili yönetmelik” içerisinde yer alan kişisel verilerin yurt içi ve yurt dışı aktarımından sorumlu olan gerçek veya tüzel kişisel hakkında uygulanacak ve Abacı Kart içerisinde ve/veya Abacı Kart tarafından uyulması gereken esasları belirleyecektir.
Fiziksel ortamdaki kişisel veriler, kişisel verilerin okunabilir olduğu elektronik ortam dışındaki tüm kişisel verileri kapsamaktadır.
İşbu Kişisel Veri Aktarım Politikası’ nın bu bölümünde kişisel verilerin fiziki olarak transferi ile ilgili gereklilikler anlatılmaktadır. Abacı Kart çalışanları aksi belirtilmediği sürece fiziksel ortamda bir kişisel veri aktarımı yapıyorsa İşbu Politika’ ya bağlı kalmak zorundadır. Çalışan aksi durumda bir aktarım yaptığı veya aktarımın yapıldığına şahit olduğu durumlarda, durumu KVKK Çalışma Grubu’na bildirmekle yükümlüdür.
Fiziksel ortamda veri aktarımı yapan çalışan veya departman, aktarılacak olan kişisel veriler alınırken kişinin açık rızası alındığını ispatlayabilir olmalıdır. Açık rıza alınmadan aktarılan kişisel verilerde, sorumluluk yalnızca veriyi elde edende sayılamaz. Aktarım yapan kişi veya departman aktardıkları kişisel veriler üzerinde, veri işleyen ile ayrı tutulamaz derecede bir sorumluluk derecesine sahiptir.
Açık rıza alınmadan verilerin aktarılması yalnızca kanunda (8 inci maddenin ikinci fıkrası) belirtilen istisnaların sağlandığı durumlarda geçerlidir. Bu istisnalar dışında kalan tüm durumlarda, kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz. Kişi istisnanın geçerliliğinden emin olamıyorsa KVKK Çalışma Grubu’na danışarak aktarım yapmalıdır.
Kişisel Veri içeren fiziki dokümanlar aktarılırken işlenemez olmalıdır. Aktarım sırasında doküman üzerindeki kişisel veri aktarımı yapan kişi tarafından dahi görülmemelidir. Bu sebeple aktarım dosyaların fiziki boyutuna bağlı olarak, kişisel veriler aktarım yapılacak kişiye ulaşmadan işlenmişse bu işleme aktarım sırasında takip edilebilir şekilde aktarım gerçekleştirilmelidir. Bu takip kapalı zarfın, kolinin, kutunun mühürlenmesi şeklinde gerçekleştirilecektir. Mühürleme yapılamadığı durumda aktarım yalnızca KVKK Çalışma Grubu’nun bilgisi ve onayı dâhilinde yapılabilir.
Gönderen taraf, beklenen aktarım süresi sonunda alıcı taraf ile iletişim kurarak kişisel verilerin ulaştığını teyit etmekle yükümlüdür. Alıcı taraf ise, gönderen tarafı kişisel verilerin transfer sırasında işlenmediği (mührünü koruduğu) konusunda bilgilendirir ve aksini düşündüğü durumlarda gönderen tarafa ve KVKK Çalışma Grubu’ndaki ilgili kişiye durumu aktarır.
Fiziki ortamdaki kişisel verilerin yurt içindeki aktarımı gerekli şartları sağlamanın yanı sıra mümkün olduğunda direkt olarak göndericiden alıcıya şeklinde gerçekleştirilmelidir. Dolaylı veya elden ele aktarım yalnızca zorunlu kalınan durumlarda tercih edilmelidir.
Fiziki ortamdaki kişisel verilerin yurt dışına aktarımı yalnızca Yönetmelik’te belirtilen güvenli ülkelere yapılabilir. Aktarım yapılacak ülke Yönetmelik’te güvenli ülke olarak belirlenmemiş ise aktarım öncesinde KVKK Çalışma Grubu’nun bilgisine başvurulacaktır.
Elektronik ortamdaki kişisel veriler, kişisel verilerin bir elektronik cihaz kullanılarak okunabilir hale getirildiği tüm kişisel verileri kapsamaktadır.
İşbu Kişisel Veri Aktarım Politikası’ nın bu bölümünde kişisel verilerin elektronik olarak transferi ile ilgili gereklilikler anlatılmaktadır. Abacı Kart çalışanları aksi belirtilmediği sürece elektronik ortamda bir kişisel veri aktarımı yapıyorsa işbu Politika’ ya bağlı kalmak zorundadır. Çalışan aksi durumda bir aktarım yaptığı veya aktarımın yapıldığına şahit olduğu durumlarda, durumu KVKK Çalışma Grubu’na bildirmekle yükümlüdür.
Elektronik ortamda veri aktarımı yapan çalışan veya departman, aktarılacak olan kişisel veriler alınırken kişinin açık rızası alındığını ispatlayabilir olmalıdır. Açık rıza alınmadan aktarılan kişisel verilerde, sorumluluk yalnızca veriyi elde edende sayılamaz. Aktarım yapan kişi veya departman aktardıkları kişisel veriler üzerinde, veri işleyen ile ayrı tutulamaz derecede bir sorumluluk derecesine sahiptir. Açık rıza alınmadan verilerin aktarılması yalnızca kanunda (8 inci maddenin ikinci fıkrası) belirtilen istisnaların sağlandığı durumlarda geçerlidir. Bu istisnalar dışında kalan tüm durumlarda, kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz. Kişi istisnanın geçerliliğinden emin olamıyorsa KVKK Çalışma Grubu’na danışarak aktarım yapmalıdır.
Kişisel veriler elektronik ortamda aktarılmadan önce, alıcının veriyi işlemeye yetkisi olduğundan emin olunmalıdır.
Elektronik olarak kişisel veri aktarımı aşağıdaki yöntemlerle ve yalnızca belirtilen şartlar sağlandığı takdirde yapılabilir, bu yöntemlerin yetersiz kaldığı durumda KVKK Çalışma Grubu bilgilendirilmelidir.
Kişisel verilerin elektronik posta yolu ile transferinin gerekli olduğu durumlarda, aktarım işlemi kişisel verinin sahibi Birim Müdürü elektronik postanın alıcıları arasında yer almalıdır. Birim Müdürü bilgisi dâhilinde olsa dahi elektronik postanın alıcısı olmadığı durumlarda, çalışan politikaya aykırı davranmış sayılacaktır.
Elektronik posta metni içerisinde, elektronik postanın içeriğinin ve/veya eklerinin kişisel veri içerdiğinin bilgisi verilmelidir ve kişisel verilerin işlenmesi şifrelenerek önlenmelidir. Şifre, bir başka e-posta veya iletişim yöntemi ile alıcı ile paylaşılmalıdır. Şifreleme işleminin yapılmayacağı durumda, ilgili çalışan birim yöneticisine, birim yöneticisi ise KVKK Çalışma Grubu’na bilgi vererek onay almalıdır.
Taşınabilir medya; sabit disklere, CD, DVD, teyp, USB belleklere, USB sabit disklere, hafıza kartlarına ve benzeri elektronik ortamın fiziksel şekilde taşınabildiği tüm elektronik platformları kapsamaktadır.
Taşınabilir medyalar ile kişisel veri aktarılırken, taşınabilir medya mutlaka şifrelenmelidir. Şifresiz olarak taşınabilir medyalar ile kişisel veriler transfer edilemez. Şifre, gönderici tarafından alıcıya farklı bir iletişim kanalı kullanarak iletilir.
Veri aktarımını yapan çalışan, sonrasında taşınabilir medyanın içerisindeki verinin imhasından da sorumludur. Taşınabilir medya içerisindeki kişisel veriler imha edilmeden, medya herhangi başka bir işlem için kullanılamaz.
Taşınabilir medyanın fiziksel transferi göndericiden alıcıya direkt olarak yapılmalıdır. Direkt olarak bu aktarımın yapılamadığı durumlarda minimum aracı kullanılarak transfer gerçekleştirilmelidir. Aktarım sırasında Abacı Kart’ ın anlaşmalı olduğu kurye hizmeti kullanılmalıdır, aktarımda kargo hizmeti kullanılamaz.
Bulut paylaşım, kişisel verilerin gönderici tarafından online bir depolama alanına yüklendiği alıcının ise verileri buradan temin ettiği paylaşımların tamamını kapsamaktadır.
Bulut paylaşım yöntemi ile paylaşılan veri şifrelenmiş olmalıdır. Şifre, gönderici tarafından alıcıya başka bir iletişim kanalı kullanılarak iletilir. Bulut paylaşımı yalnızca Abacı Kart donanımları ve ağı kullanılarak yapılabilir, çalışanın bulut paylaşımını Abacı Kart donanımları ve ağını kullanmadan yapmasına izin verilmez.
Kişisel veriler, Abacı Kart’ ın ortak alanları kullanarak departmanlar içerisinde ve/veya departmanlar arasında paylaşılabilir. Ağ üzerinden yapılacak paylaşımlarda, kişisel veriler yalnızca şifreli olarak transfer edilebilir ve transfer sırasında kriptografik protokoller uygulanır. Şifre, farklı bir iletişim kanalı kullanılarak göndericiden alıcıya iletilir. Kişisel verilerin transferi işleminin, şifrelenmeye veya kriptografik protokollerin uygulanmasına uygun olmadığına çalışan tarafından kanaat getiriliyorsa, ilgili birim yöneticisinin bilgisi dâhilinde KVKK Çalışma Grubu’na bilgi verilir ve yalnızca Grup’un onayı olduğu durumlarda aktarım gerçekleştirilir.
Ağ üzerinde paylaşım yapılırken, kullanılan alanın yalnızca alıcı departman ve/veya çalışanın erişimi olması gerekmektedir ve bu kontrol göndericinin sorumluluğundadır. Paylaşımın tamamlanmasının ardından, alıcı kişisel verileri ağ üzerinden imha ederek göndericiye bilgi vermelidir. Bilgiyi alan gönderici, ağ üzerindeki ortak alanda kişisel verilerin artık bulunmadığını kontrol etmeli ve bulunmadığından emin olmalıdır.
İşbu Politika 21.01.2020 tarihinde yürürlüğe girmiştir.