KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI
1. AMAÇ
7 Nisan 2016 tarihinde 29677 Sayılı Resmi Gazetede yayımlanması ile yürürlüğe giren ve resmiyet kazanan 6698 sayılı Kişisel Verileri Koruma Kanunuyla tanımlanan kişisel verilerin işlenmesi, başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerin korunması ile ilgili, çalışma alanlarıyla ilgili vatandaşların ve kurum çalışanlarının kişisel verilerini işleyen Kamu Teknoloji Platformu veri sorumlularının yükümlülüklerini belirleyen politika oluşturmaktır.
2. KAPSAM
KVKK hükümleri gereğince, kişisel verileri işlenen gerçek kişiler ve bu verileri tamamen, kısmen otomatik ya da kayıt sisteminin bir parçası olarak otomatik olmayan yollarla işleyen Kamu Teknoloji Platformu ağına ulaşan üçüncü kişiler, ihale yolu ile iş/hizmet aldığı şirketlerdeki çalışanlar ve kurum çalışanlarıdır.
3. HUKUKİ YÜKÜMLÜLÜKLER
KVK Kanunu uyarınca Kamu Teknoloji Platformu’nun kişisel verilerin korunması ve işlenmesi kapsamında hukuki yükümlülükleri bulunmaktadır. Söz konusu yükümlülükler şu şekilde sıralanmaktadır:
3.1. Aydınlatma yükümlülüğü
Kamu Teknoloji Platformu, kişisel verilerin toplanması sırasında, ilgili kişiyi aydınlatmak ve bu kapsamda ilgili kişiye aşağıdaki hususlarda bilgi vermekle yükümlüdür:
- Kişisel verilerin hangi amaçla işleneceği,
- İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
- Kişisel verileri toplanmanın hukuki sebebi,
- İlgili kişinin hakları.
4. KİŞİSEL VERİLERİN SINIFLANDIRILMASI
4.1. Kişisel veriler
KVK Kanunu kişisel verileri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlamaktadır. Bu bağlamda, kişinin verilerinin belli veya belirlenebilir olması (bir başka bilgi ile bir araya getirildiğinde kişiye ulaşılması) gerekmektedir. Bir kişinin adı, soyadı, doğum tarihi ve yeri, kimlik, sosyal güvenlik numarası, telefon numarası, adresi, görüntüleri, ödeme bilgileri, sağlık bilgileri ve benzeri bilgiler kişisel veri tanımına girmektedir.
Kişisel Verilerin Korunmasının konusu verisi işlenen gerçek kişiler olup, tüzel kişiler kapsam dışında bırakılmıştır. Bu nedenle, bir tüzel kişinin sicil numarası, ticaret unvanı ve sicil bilgileri gibi içerisinde gerçek kişiye ait bilgi içermeyen bilgiler, KVK Kanunu gereği kişisel veri olarak korunmamaktadır.
4.2. Özel nitelikli kişisel veriler
Özel nitelikli kişisel veriler; öğrenildiği takdirde ilgili kişinin mağdur olmasına veya ayrımcılığa maruz kalmasına neden olabilecek nitelikteki bilgiler olup; KVK Kanunu 6. Maddesinin 1. Fıkrasında şu şekilde sayılmaktadır: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri, Özel nitelikli kişisel verilerin kanunda açıkça yetki verilen durumlar dışında ilgilinin açık rızası olmaksızın işlenmesi yasaktır.
Bu kapsamda; Kurumumuz tarafından bu tür kişisel veriler Kanun gereği işlenmesi gereken durumlar dışında işlenmez veya ilgilinin açıkça rızası alınarak KVK Kanunu 6. maddesi uyarınca belirtilen şartlara uygun olarak işlenir.
5. KİŞİSEL VERİLERİN İŞLENMESİ POLİTİKASI
5.1. Kişisel verilerin işlenmesine ilişkin uyulacak ilkeler
Toplanan tüm kişisel veriler, KVK Kanunu 4. Maddesinde sayılan ilkelere uygun ve 5. ve 6. maddelerinde belirtilen şartlar ile uyumlu bir şekilde işlenmelidir. Kurumumuz, KVK Kanunu 4. maddesi uyarınca; kişisel verilerin işlenmesi konusunda hukuka ve dürüstlük kurallarına uygun, doğru ve gerektiğinde güncel, belirli, açık ve meşru amaçlar güderek, amaçla bağlantılı, sınırlı ve ölçülü biçimde kişisel verileri işlemekle sorumludur.
Bu demektir ki;
- Kamu Teknoloji Platformu kişisel verileri yürütmekte olduğu faaliyetlere bağlı olarak işlemelidir.
- Kamu Teknoloji Platformu kişisel verileri gerekli olduğu ölçüde işlemelidir. Bu kapsamda orantılık ilkesi dikkate alınmalıdır ve kişisel veriler amacın gerektirdiği dışında kullanılmamalıdır. Ayrıca amaca ulaşmayı sağlayacak ölçü aşılarak ihtiyaç olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılmalıdır.
5.2. Kamu Teknoloji Platformu kişisel verileri işleme amaçları
- Kamu Teknoloji Platformu kişisel verileri KVK Kanunu 5 ve 6. maddeleri ile uyumlu olarak bu ve benzeri amaçlar için işlemektedir.
- Kurumumuz hizmetlerinin sunulabilmesi, bu konuda talep ettiğiniz/edeceğiniz hizmetlere ilişkin iletişim kurulabilmesi gibi amaçlarla belediyecilik faaliyetleri ile ilişkili olarak işlenmektedir.
- Kâğıt üzerinde ya da elektronik ortamda gerçekleştirilecek iş ve işlemlere dayanak olacak bilgi ve belgeleri düzenlemek,
- İlgili mevzuat uyarınca adli ve idari yetkili makamlarca öngörülen bilgi saklama, raporlama ve bilgilendirme yükümlülüklerine uymak,
- Kurumsal sürdürülebilirlik faaliyetlerinin planlanması ve icrası,
- Kurum şirketleri ve yüklenicilerle olan ilişkilerin yönetimi,
- Personel temin süreçlerinin yürütülmesi,
- Finansal raporlama ve risk yönetimi işlemlerinin icrası/takibi,
- Hukuk işlerinin icrası/takibi
- Kurumsal iletişim faaliyetlerinin planlanması ve icrası,
- Kurumsal yönetim faaliyetlerinin icrası,
- HTYS, Bilgi Edinme talep, şikayet yönetimi,
- Yetkili kuruluşlara mevzuattan kaynaklı bilgi verilmesi,
- Ziyaretçi kayıtlarının oluşturulması ve takibi,
- Web Sitelerden ve Uygulamalardan sunulan hizmetlerin geliştirilmesi,
- Ücretsiz ve kablosuz internet hizmetlerinin verilmesi,
Bahsi geçen amaçların dışında gerçekleştirilen işleme faaliyetinin, KVK Kanunu kapsamında öngörülen şartlardan herhangi birini karşılamıyor olması halinde, ilgili işleme sürecine ilişkin olarak Kurum tarafından kişisel veri sahibinin açık rızası temin edilmektedir.
6. BİNA, TESİS GİRİŞLERİ VE İÇERİSİNDE VERİ İŞLEME FAALİYETLERİ
Kurumumuz tarafından güvenliğin sağlanması amacıyla, Kurumumuzun binalarında ve tesislerinde güvenlik kamerasıyla izleme faaliyeti ile misafir giriş çıkışlarının takibine yönelik kişisel veri işleme faaliyetinde bulunulmaktadır. Bu faaliyetler güvenlik kameraları kullanılması, kimlik alınması ve misafir giriş çıkışlarının kayıt altına alınması yoluyla yapılmaktadır.
Kurumumuz tarafından yürütülen kamera ile izleme ve kayıt tutulması, Özel Güvenlik Hizmetlerine Dair Kanun ve ilgili mevzuata uygun olarak sürdürülmektedir.
Kurumumuz tarafından KVK Kanunu’nun 12. maddesine uygun olarak, kamera ile izleme faaliyeti sonucunda elde edilen kişisel verilerin güvenliğinin sağlanması için gerekli teknik ve idari tedbirler alınmaktadır.
Kurumumuz tarafından Bina ve Tesislerimiz içerisinde kaldığınız süre boyunca talep eden Ziyaretçilerimize internet erişimi sağlanabilmektedir. Bu durumda internet erişimlerinize ilişkin log kayıtları 5651 Sayılı Kanun ve bu Kanuna göre düzenlenmiş olan mevzuatın amir hükümlerine göre kayıt altına alınmakta; bu kayıtlar ancak yetkili kamu kurum ve kuruluşları tarafından talep edilmesi veya Kurum içinde gerçekleştirilecek denetim süreçlerinde ilgili hukuki yükümlülüğümüzü yerine getirmek amacıyla işlenmektedir.
7. WEB SİTESİ VE MOBİL UYGULAMA ZİYARETÇİLERİ
Kurumumuz sahibi olduğu internet siteleri ve mobil uygulamalarda; bu siteleri ziyaret eden kişilerin sitelerdeki ziyaretlerini, ziyaret amaçlarıyla uygun bir şekilde gerçekleştirmelerini temin etmek amacıyla kaydetmektedir.
Kurumumuzun Web sitelerinde ve mobil uygulamalarında yapmış olduğu bu faaliyetlere ilişkin kişisel verilerin işlenmesi ve korunmasına ilişkin detaylı açıklamalar, Kurum Web sitesi içerisinde Web sitesi ve Mobil Uygulama Gizlilik Politikasında yer almaktadır.
8. KİŞİSEL VERİLERİN AKTARILMASI POLİTİKASI
8.1. Yurtiçinde kişisel verilerin aktarımı
Kamu Teknoloji Platformu, kişisel verilerin aktarılması konusunda KVK Kanununda öngörülen ve KVK Kurulu tarafından alınan karar ve düzenlemelere uygun bir şekilde hareket etmekle yükümlüdür. Kamu Teknoloji Platformu tarafından ilgililere ait kişisel veriler ve özel nitelikli veriler ilgili kişinin açık rızası olmadan başka gerçek kişilere veya tüzel kişilere aktarılamaz. Şu kadar ki, KVK Kanunu ve diğer Kanunların zorunlu kıldığı durumlarda ilgilinin açık rızası olmadan da veriler mevzuatta öngörülen şekilde ve sınırlarla bağlı olarak yetkili kılınan idari veya adli kurum veya kuruluşa aktarılabilir. Ayrıca, KVK Kanunu’nun 8. Maddesinde öngörülen şekilde 5. maddenin 2. Fırkasında (örn: bir sözleşmenin kurulması veya ifası için zorunlu olması ya da hukuki bir yükümlülüğümüzün yerine getirilmesi gibi) veya özel nitelikli kişisel veriler için 6. maddenin 3. Fıkrasında öngörülen durumlarda ilgilinin rızası olmaksızın da aktarılabilir. Kamu Teknoloji Platformu, kişisel verileri Kanunda öngörülen şartlara uygun olarak ve gerekli tüm güvenlik önlemlerini alarak Türkiye’de bulunan üçüncü kişilere aktarabilir.
9. KİŞİSEL VERİLERİN GÜVENLİĞİ POLİTİKASI
9.1. Kamu Teknoloji Platformu’nun veri güvenliğine ilişkin yükümlülükleri
KVK Kanunu’nun 12. maddesi uyarınca, veri sorumlusu sıfatıyla Kamu Teknoloji Platformu veri güvenliğine ilişkin yükümlülükleri şu şekildedir:
- Kişisel verilerin;
- hukuka aykırı işlenmesini önlemek,
- hukuka aykırı erişimi önlemek,
- muhafazasını sağlamak,
için her türlü teknik ve idari tedbir almak,
- Kurum içinde gerekli denetimleri yapmak veya yaptırmak,
- Kendisi adına kişisel verileri işleyen kişilerin veya organlarında görev alan yetkililerin görevlerinden ayrılsalar dahi, görevleri sırasında öğrendikleri kişisel verileri kanun hükümlerine aykırı olarak başkasına açıklamaması ve işleme amacı dışında kullanmaması için gerekli önlemleri alır,
- İşlenen kişisel verilerin hukuka aykırı olarak başkaları tarafından ele geçirilmesi halinde ilgilisine ve Kurula bildirmektir.
9.2. Kamu Teknoloji Platformu’nun veri güvenliğine ilişkin aldığı tedbirler
Kişisel verilerin güvenliğine ilişkin yükümlülüklerini yerine getirilmesi açısından ve güvenliğin risk teşkil ettiği durumlarda hızlı bir şekilde hareket edilmesi adına, aşağıda sıralanmış olan tedbirleri alır:
9.2.1. Kişisel verilere hukuka aykırı erişimi engellemek için alınan teknik ve idari tedbirler.
Kişisel verinin işlenmesi, aktarılması ve muhafaza edilmesine ilişkin ilgili bölümlerde alınması gereken teknik ve idari tedbirler sayılmıştır. Kurum bu tedbirleri eksiksiz olarak almak ve hukuka aykırı erişimi engellemekle yükümlü olduğu halde; yine de üçüncü kişilerin kişisel verilere hukuka aykırı erişimi söz konusu olmuş ise; kişisel verilerin korunmasına ilişkin ilgili mevzuata ve Kurul kararlarına uygun şekilde ilgililerin zarar görmemesi için teknik ve idari tüm tedbirleri alır.
9.2.2. Kişisel verilerin korunması konusunda alınan tedbirler ve bunların denetimi.
Kurum bünyesinde kullanılmakta olan veri kayıt sistemlerinin KVK Kanunu ve ilgili mevzuata uygun şekilde oluşturulduğu ve kullanıldığı periyodik olarak takip edilerek denetlenir ve bu konuda yetkili kılınan kişi veya kurula raporlama yapılır.
9.2.3. Kişisel verilerin yetkisiz bir şekilde ifşası durumunda alınacak tedbirler.
Kurum, kişisel verilerin yetkisiz bir şekilde ifşasının engellenmesine yönelik tedbirler almakla ve buna ilişkin iç politika oluşturmakla yükümlüdür. Buna ek olarak, söz konusu durumlarda kurum, veri sorumlusu olarak, kişisel verileri yetkisiz bir şekilde ifşa edilen kişileri ve KVK Kurulunu bilgilendirmekle yükümlüdür.
10. İLGİLİ KİŞİNİN HAKLARI
10.1. Kişisel verilere erişim hakkı
İlgili kişilerin bir ücrete tabi olmadan kişisel verilerine erişim hakkı bulunmaktadır. Bu nedenle Kurum ilgili kişiye;
- Kişisel verilerinin işlenip işlenmediğini öğrenme;
- Kişisel verileri işlenmişse buna ilişkin bilgi talep etme;
- Kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme;
- Yurt içinde veya yurt dışında kişisel verilerinin aktarıldığı üçüncü kişileri bilme isteğinde bulunma hakkı.
10.2. Kişisel verilerini değiştirme veya sildirme hakkı
İlgili kişilerin bir ücrete tabi olmadan kişisel verilerini değiştirme veya sildirme hakkı bulunmaktadır.
Bu kapsamda;
- Kişisel verilerinin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme,
- Kişisel verilerinin işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verilerin silinmesini veya yok edilmesini isteme,
- Yukarıda bahsedilen düzeltme, silme veya yok etme işlemlerinin, kişisel verilerinin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhe bir sonuç ortaya çıkmasına itiraz etme.
11. ÇEREZ POLİTİKASI
Bu çerez uygulamaları politikası Kamu Teknoloji Platformu tarafından veya onlar adına yürütülen web siteleri ve Mobil Platformlar veya web siteleri üzerinden erişilen, kullanılan platformlar içindir.
11.1. Çerezler (Cookies) Nedir?
Çerezler web sitelerinde dolaşırken bilgilerin, şifrelerin kaydedildiği, o web sitesine tekrar girildiğinde bilgilerinizin hatırlanarak giriş yapıldığı, web sunucusu tarafından tarayıcınız aracılığı ile bilgisayarınıza yerleştirilen küçük veri dosyalarıdır. Tarayıcınız ve sunucu arasında bir bağlantı sağlandığında site, çerezeler aracılığıyla sizi tanır.
Çerezlerin kullanılma amacı, web sitesini ziyaret eden kullanıcıya kolaylık sağlamaktır. Çerezlerin ömrü, kullanıcının yapmış olduğu tarayıcı ayarlarına bağlı olarak değişiklik gösterir. Genel olarak internet tarayıcıları, çerezleri otomatik olarak kabul edecek şekilde ön tanımlıdır. Tarayıcılar, çerezleri engelleyecek veya cihaza çerez gönderildiğinde kullanıcıya uyarı verecek şekilde ayarlanabilir. Çerezleri devre dışı bırakana kadar depolanmış olan çerez verilerini temizleyebilirsiniz.
Çerezleri yönetmek tarayıcıdan tarayıcıya farklılık gösterdiğinden ayrıntılı bilgi almak için tarayıcının yardım menüsüne bakılabilir.
12. DOKÜMANIN YAYINLANMASI VE SAKLANMASI
İşbu veri politikası KVK Kanunu kapsamındaki aydınlatma yükümlülüğü ile birlikte kişisel verileri bulunan kullanıcılara bildirilecek ve Kamu Teknoloji Platformu’na bağlı sitelerde de yayınlanacaktır.
13. YÜRÜRLÜK
İşbu veri politikası yayınlandığı tarihte yürürlüğe girer ve internet sitesinden kaldırılana kadar yürürlükte kalmaya devam eder.