T.C.
KARABAĞLAR BELEDİYE BAŞKANLIĞI
KİŞİSEL VERİLERİN KORUNMASI POLİTİKASI
İçindekiler
3. KİŞİSEL VERİLERİN İŞLENME ŞARTLARI 4
4. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENME ŞARTLARI 4
5. KİŞİSEL VERİLERİN İŞLENME AMAÇLARI 5
6. KİŞİSEL VERİLERİN AKTARILMASI VE PAYLAŞILMASI 6
7. VERİ GÜVENLİĞİNİN SAĞLANMASINA İLİŞKİN YÜKÜMLÜLÜKLER. 6
8. VERİ GÜVENLİĞİNİN SAĞLANMASINA İLİŞKİN TEKNİK TEDBİRLER. 6
9. VERİ GÜVENLİĞİNİN SAĞLANMASINA İLİŞKİN İDARİ TEDBİRLER. 7
11. VERİ SORUMLUSUNUN AYDINLATMA YÜKÜMLÜLÜĞÜ.. 8
12. BİRİM AMİRLERİNİN GÖREV VE SORUMLULUKLARI 8
13. VERİ SORUMLUSU KİŞİSEL VERİLERİ KORUMA KURULU GÖREV VE SORUMLULUKLARI 9
14. BİRİM KVKK SORUMLU PERSONELİ GÖREV VE SORUMLULUKLARI 9
15. VERİ SAHİBİ AÇIK RIZA BEYANI 10
16. VERİ SORUMLUSUNA KVKK BAŞVURU.. 10
17. VERİ SORUMLUSUNA KVKK BAŞVURU DEĞERLENDİRİLMESİ 10
18. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİMLEŞTİRME ŞARTLARI 10
19. KİŞİSEL VERİLERİN İMHASI 11
20. VERİSİ İŞLENEN VERİ SAHİBİ KATEGORİLENDİRİLMESİ 11
21. İŞLENEN KİŞİSEL VERİLERİN KATAGORİLENDİRİLMESİ 12
KARABAĞLAR BELEDİYE BAŞKANLIĞI
KİŞİSEL VERİLERİN KORUNMASI POLİTİKASI
- TANIMLAR
- Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi
- Özel Nitelikli Kişisel Veri: Yetkisiz kişilerce öğrenilmesi halinde ilgili kişi hakkında ayrımcılık yapılmasına veya mağduriyete neden olabilecek nitelikteki verilerdir.
- KVK Kanunu: 6698 Sayılı Kişisel Verilerin Korunması Kanunu.
- Veri Sorumlusu: Karabağlar Belediye Başkanlığı
- Veri Sahibi: Verisi İşlenen gerçek kişiler
- Veri İşleyen: Belediye Başkanlığı bünyesinde veriye erişim sağlayan gerçek kişiler (Personel), verilerin işlenmesini saylayan uygulamalar, verileri işleyen uygulamaları sağlayan yükleniciler, kanuni dayanak ile verinin paylaşıldığı kurum ve kuruluşlar.
- Yönetmelik: 28 Ekim 2017 tarihinde 30224 sayılı Resmi gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik.
- Kişisel Verileri Koruma Kurumu: Türkiye’de kişisel verilerin korunmasını sağlamak ve gözetmek için kurulmuş olan düzenleyici ve denetleyici kurumdur.
- Veri Sorumlusu Kişisel Verileri Koruma Kurulu: Veri Sorumlusu adına KVKK Başvuru Formu değerlendirilmesini yapacak ve VERBİS verilerinin güncel tutulmasını sağlanmasını sağlayacak Veri Sorumlusu tarafından görevlendirilmiş kurum personellerinden oluşan ekibi ifade etmektedir.
- Açık Rıza Beyanı: Belediye uygulamalarında alınması mevzuat gereği olmayan ancak uygulamalarda hizmet devamlılığını ve kalitesi etkileyecek kişiye ait kişisel veriler için kişinin Belediye uygulamalarındaki belirli bir iş için verdiği veri işlenmesine ait onay belgesidir.
- KVKK Başvuru Formu: Kişisel veri sahibi kişilerin 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun (“KVKK”) 11. maddesinde yer alan hususlar ile ilgili veri sorumlusuna başvuruda bulunmasını sağlayacağı dokümandır.
- Aydınlatma Metni: Kişisel verilerin elde edilmesi sırasında veri sorumlusunun veri sahibi ilgili kişiye ait veriyi hangi amaçla kullanacağını ve hangi mevzuata göre işleneceğini açık bir şekilde belirttiği ve kişinin bu metni okumasına imkan verecek ortamlarda paylaştığı dokümandır.
- Birim Amiri: Veri Sorumlusu Yetkili Çalışanı.
- Birim KVKK Sorumlu Personeli: Birimlerde en az 1 asil ve 1 yedek olmak üzere görevlendirilen birimi ile ilgili KVKK çalışmasını yürütecek personeli ifade eder.
- VERBİS: Veri Sorumluları Sicil Bilgi Sistemi.
- AMAÇ VE KAPSAM
- Bu Politika ile KVK Kanununun Veri Sorumlusu iş ve işlemlerinde uygulanmasına yönelik belirlenen şekil ve esaslarını belirlemeyi amaçlamaktadır.
- Bu politika, KVK Kanunu ile Veri Sahibine ait verilerin Veri Sorumlusunca işlenmesi için Belediye faaliyet konuları ve çalışma alanlarında, kişisel verilerin ve/veya özel nitelikli kişisel verilerin işlenmesi süreçlerine dahil olan tüm unsurların çalışmasının düzenlenmesini kapsamaktadır.
- KİŞİSEL VERİLERİN İŞLENME ŞARTLARI
- Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez.
- Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:
- Kanunlarda açıkça öngörülmesi.
- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
- İlgili kişinin kendisi tarafından alenileştirilmiş olması.
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
- ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENME ŞARTLARI
- Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.
- Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.
- Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
- Özel nitelikli kişisel verilerin işlenmesinde, ayrıca KVKK Kurumu tarafından belirlenen yeterli önlemlerin alınması şarttır.
- KİŞİSEL VERİLERİN İŞLENME AMAÇLARI
- Veri Sorumlusu ve yüklenicilerinin veri sahibi iş ve işlemlerini yürütebilmesi
- Hukuksal işlerinin yürütülmesi
- Kurumsal iletişim faaliyetlerinin devamlılığının sağlanması
- HİM ve Bilgi Edinme talep, şikayet yönetiminin sağlanması
- Yetkili kurum ve kuruluşlarla mevzuattan kaynaklı bilgi paylaşılması
- Web Sitelerinde sunulan hizmetlere erişim sağlanması
- e-Belediye hizmetleri kullanan veri sahiplerine gerekli geri dönüşlerin sağlanması
- Ücretsiz ve kablosuz internet hizmetlerinin yürütülmesi
- Acil Durum Yönetimi Süreçlerinin Yürütülmesi
- Bilgi Güvenliği Süreçlerinin Yürütülmesi
- Çalışan Adayı / Stajyer / Öğrenci Seçme ve Yerleştirme Süreçlerinin Yürütülmesi
- Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi
- Çalışanlar İçin İş Akdi ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi
- Çalışanlar İçin Yan Haklar ve Menfaatleri Süreçlerinin Yürütülmesi
- Denetim / Etik Faaliyetlerinin Yürütülmesi
- Eğitim Faaliyetlerinin Yürütülmesi
- Erişim Yetkilerinin Yürütülmesi
- Faaliyetlerin Mevzuata Uygun Yürütülmesi
- Finans ve Muhasebe İşlerinin Yürütülmesi
- Fiziksel Mekan Güvenliğinin Temini
- Hukuk İşlerinin Takibi ve Yürütülmesi
- İç Denetim/ Soruşturma / İstihbarat Faaliyetlerinin Yürütülmesi
- İletişim Faaliyetlerinin Yürütülmesi
- İnsan Kaynakları Süreçlerinin Planlanması
- İş Faaliyetlerinin Yürütülmesi / Denetimi
- İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi
- İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi
- Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi
- Organizasyon ve Etkinlik Yönetimi
- Saklama ve Arşiv Faaliyetlerinin Yürütülmesi
- Sözleşme Süreçlerinin Yürütülmesi
- Taşınır Mal ve Kaynakların Güvenliğinin Temini
- Tedarik Zinciri Yönetimi Süreçlerinin Yürütülmesi
- Ücret Politikasının Yürütülmesi
- Yetkili Kişi, Kurum ve Kuruluşlara Bilgi Verilmesi
- Ziyaretçi Kayıtlarının Oluşturulması ve Takibi
- KİŞİSEL VERİLERİN AKTARILMASI VE PAYLAŞILMASI
- Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz.
- Kişisel veriler;
- KVK Kanunun 5 inci maddesinin ikinci fıkrasında belirtilen şartlardan birinin bulunması hâlinde,
- Yeterli önlemler alınmak kaydıyla, KVK Kanunun 6 ncı maddesinin üçüncü fıkrasında, belirtilen şartlardan birinin bulunması hâlinde,
ilgili kişinin açık rızası aranmaksızın aktarılabilir.
-
- Kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.
- VERİ GÜVENLİĞİNİN SAĞLANMASINA İLİŞKİN YÜKÜMLÜLÜKLER
- Veri sorumlusu;
- Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
- Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
- Kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.
- Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur.
- Veri sorumlusu, kendi kurum veya kuruluşunda, KVKK Kanunu hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır.
- Veri sorumlusu ile veri işleyen kişiler, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.
- İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kişisel Verileri Koruma Kurumuna bildirir. Kişisel Verileri Koruma Kurumu, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.
- Veri sorumlusu;
- VERİ GÜVENLİĞİNİN SAĞLANMASINA İLİŞKİN TEKNİK TEDBİRLER
- Veri Sorumlusu, veri güvenliğini sağlamak amacıyla bilgili ve deneyimli kişiler istihdam eder.
- Veri Sorumlusu, veri işleyenlere gerekli KVK Kanunu eğitimleri ve bilgilendirme yapar.
- Veri Sorumlusu sorumluluğunda kullanılan yazılım ve donanım sistemleri için gerekli kontroller yapar.
- Veri Sorumlusu sorumluluğunda olan iş ve işlemlerle ilgili risk analizi, veri sınıflandırması, Bilgi Güvenliği risk değerlendirmesi yapar.
- Veri Sorumlusu, gelişen teknolojiye uygun altyapı yatırımları yapar.
- Veri Sorumlusu sorumluluğunda kullanılan yazılım ve donanım sistemleri Virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılım ve donanımlar ile korur.
- Veri Sorumlusu sorumluluğunda kullanılan yazılım ve donanım sistemleri açıklıklarına karşı gerekli güvenlik önlemleri alır.
- Veri Sorumlusu çalışanlarının yetkileri dahilinde kişisel verilere erişimi kontrol altında alınması sağlar.
- Veri Sorumlusunun ilgili çalışanları sistem güvenliğinin kontrol edilmesi sonucu elde edilen bilgileri Veri Sorumlusuna rapor olarak sunar.
- Veri Sorumlusunun ilgili çalışanları risk teşkil eden noktaları tespit edilerek gerekli teknik tedbirleri alır.
- Veri Sorumlusunun ilgili çalışanları “alınan tedbirleri” kontroller ile sürekli yaşatılmasını sağlar.
- VERİ GÜVENLİĞİNİN SAĞLANMASINA İLİŞKİN İDARİ TEDBİRLER
- Veri Sorumlusu yetkilisi birim amirleri kişisel verilerin güvenliğini sağlamak amacı ile birim bazlı belirlenen hukuksal uyum gerekliliklerine uygun olarak ve iş süreçlerinin yürütülmesini sağlar.
- Veri Sorumlusunun ilgili çalışanları kişisel verilere erişim yetkilerini ve kurallarını tanımlar.
- Veri Sorumlusunun ilgili çalışanları, öğrendikleri kişisel verileri KVK Kanunu hükümlerine aykırı olarak başkasına açıklayamayacağı, işleme amacı dışında kullanamayacağı ve bu yükümlülüğün görevden ayrılmalarından sonra da devam edeceği konusunda taahhütname imzalar.
- Veri Sorumlusu Yüklenici taraflarla kişisel verilerin paylaşılmasıyla ilgili olarak kişisel verilerin paylaşıldığı durumlarda sözleşmelere ekleyeceği hükümler ile veri güvenliğini sağlar.
- Veri Sorumlusu kişisel veri paylaşılan yüklenici taraflar ile kişisel verilerin korunması amacıyla Gizlilik taahhütnamesi imzalar.
- Alınan önlemlere rağmen işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edildiği tespit edilmesi halinde Veri Sorumlusu tarafından veri sahibine ve Kişisel Verileri Koruma Kurumuna bildirir.
- Veri Sorumlusu Kişisel verinin kanuni olmayan yollarla başkaları tarafından nasıl elde edildiğini araştır ve sorumluları hakkında disiplin hükümlerince işlem yapar.
- Veri Sorumlusu tespit ettiği düzenli kontroller dahilinde zafiyeti gidermek için gerekli teknik ve idari tedbirleri uygular.
- VERİ SAHİBİNİN HAKLARI
- Herkes, veri sorumlusuna başvurarak kendisiyle ilgili;
- Kişisel veri işlenip işlenmediğini öğrenme,
- Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
- Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
- Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
- Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
- Kişisel verilerin silinmesini veya yok edilmesini isteme,
- Kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- İşlenen verilerin otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
- Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme, haklarına sahiptir.
- Herkes, veri sorumlusuna başvurarak kendisiyle ilgili;
- VERİ SORUMLUSUNUN AYDINLATMA YÜKÜMLÜLÜĞÜ
- Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, veri sahibi kişilere;
- Veri sorumlusunun ve varsa temsilcisinin kimliği,
- Kişisel verilerin hangi amaçla işleneceği,
- İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
- Kişisel veri toplamanın yöntemi ve hukuki sebebi,
- KVK Kanununda belirtilen hakları, konusunda bilgi vermekle yükümlüdür.
- Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, veri sahibi kişilere;
Birim Amiri,
-
- Birim KVKK Sorumlu Personelinin KVK Kanunu ile bağlı mevzuatları takibinin yapılması sağlanmalıdır.
- İş akışlarında ihtiyaç dışı kişisel veri alınmasını engelleyecek politikalar oluşturmalıdır.
- Birim içinde yapılan yetkilendirmelerin gerekli olmayanlarının tespiti ve yetkisiz erişimin kapatılması için Veri Sorumlusunun ilgili çalışanlarına başvuruda bulunmalıdır.
- VERİ SORUMLUSU KİŞİSEL VERİLERİ KORUMA KURULU GÖREV VE SORUMLULUKLARI
- Kurul üyeleri, birimlerde belirlenen iş ve işlemlere ait birim analiz dokümanlarında belirtilen veri kategorilerini VERBIS sisteminde eklenmesini sağlar.
- Kurul üyeleri, KVKK Başvuru formunu değerlendirmek için birimlerle koordinasyon sağlar ve başvuruya süresi içinde cevap verilmesini sağlar..
- Kurul Üyeleri, Kişisel Verileri Koruma Kurumu tarafından yapılan denetlemelerde ve şikayetlerde Veri Sorumlusu adına alınması gereken önlemler hakkında bilgi sunar.
- Kurul Üyeleri, KVKK Uyum sürecinde birimlerden temin edilen birim analiz dokümanlarının güncel tutulması için birimlerde belirlenen Birim KVKK Sorumlu Personelleri ile sürekli irtibat halince olup, çalışma yapar.
- Kurul Üyeleri, Birim KVKK Sorumlu Personeli ile birim içinde yapılan işlerle ait aydınlatma metni, Açık Rıza Beyanı ve diğer taahhütnamelere ait gerektiğinde kontrol sağlar.
- Kurul üyeleri, KVK Kanunu uyum sürecinde hazırlanan dokümanları yeni çıkan mevzuatlar ve gereksinimlere göre makul zamanlarda güncellenmesini sağlar. Güncellenme süresi 1 yılı aşmayacaktır.
- Kurul Üyeleri, KVKK süreçleri ve Başvurular ile ilgili üst Yönetime düzenli rapor sunar
- Kurul üyeleri, Veri işleyen personellere Kullanıcı Taahhütnamesi imzalatacaktır. İmzalanan taahhütnameleri saklar.
- BİRİM KVKK SORUMLU PERSONELİ GÖREV VE SORUMLULUKLARI
Birim KVKK Sorumlu Personeli,
-
- Birimi ile ilgili iş akışlarını çıkarmalıdır.
- Birimi ile hizmet standartları tablosu hazırlamalıdır.
- Birimi içinde yapılan her bir iş için Aydınlatma metinlerini oluşturmalıdır.
- Birimi içindeki uygulamaların mevzuat haricinde veri sahibi kişinin ekstra alınan kişisel verileri için her bir işlem için Açık Rıza Beyan dokümanları hazırlanmalıdır.
- Birim içindeki diğer personellere KVKK uygulamaları konusunda bilgi vermeli ve uygulamaları denetleyip Veri Sorumlusu Kişisel Verileri Koruma Kuruluna gerektiğinde raporlama yapacaktır.
- Birimi ile ilgili görüş ve önerileri veri sorumlusu kişisel verileri koruma kuruluna bildirmelidir.
- KVK Kanunu uyum sürecinde birimi için hazırlanan dokümanları yeni çıkan mevzuatlar ve gereksinimlere göre makul zamanlarda güncelleyeceklerdir.
- Doküman güncelleme süresi 1 yılı aşmayacaktır.
- Güncel dokümanları Veri Sorumlusu Kişisel Verileri Koruma Kuruluna ileteceklerdir.
- VERİ SAHİBİ AÇIK RIZA BEYANI
- Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza’dır. Kanun çerçevesinde açık rıza, kişinin sahip olduğu verinin işlenmesine, kendi isteği ile ya da karşı taraftan gelen istek üzerine, onay vermesi anlamını taşımaktadır.
- Veri Sahibi belirli bir iş için verdiği açık rızayı belirli bir süre sonra geri alabilir. Geri alma işlemi KVKK Başvuru Formu kullanılarak yapılmalıdır.
- Açık Rıza geri alma işlemi sonrası kişinin izni olmadan ilgili kişisel veri tekrar kullanılamaz hale getirilmelidir.
- VERİ SORUMLUSUNA KVKK BAŞVURU
-
- Veri Sahibi, KVK Kanunun uygulanmasıyla ilgili taleplerini yazılı olarak veya Kişisel Verileri Koruma Kurumunun