Özel Nitelikli Kişisel Verilerin İşlenmesi ve Korunması Politikası

1. AMAÇ

İşbu Politika, “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” ile ilgili Kişisel Verileri Koruma Kurulu’nun 31/01/2018 tarihli ve 2018/10 sayılı kararı uyarınca,  özel nitelikli kişisel verilerin işlenmesine yönelik önlem alınması amacı ile hazırlanmıştır.

Özel nitelikli kişisel veri işlenme, saklanma ve aktarılma işlemlerinde işbu Politikaya uygun olarak hareket edilecektir.

2. KAPSAM

İşbu Politika, kimliği belirli veya belirlenebilir gerçek kişilere ait, otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla Şirket bünyesinde işlenen özel nitelikli kişisel verilere ilişkindir.

3. YETKİ VE SORUMLULUKLAR

Paket Lojistik ve Teknoloji A.Ş., çalışanlarının kişisel verilerini Kanun’a ve ilgili yasal mevzuata uygun olarak toplamak, işlemek ve güvenli bir şekilde muhafaza etmekle yükümlüdür.

4. TANIMLAR VE KISALTMALAR

Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ait her türlü bilgi.

Özel Nitelikli Kişisel Veri: Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler.

İlgili Kişi: Verisi işlenen gerçek kişi.

Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinden gerçekleştirilen her türlü işlem.

Açık Rıza: Belirli bir konuya ilişkin bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza.

Kanun: 7 Nisan 2016 tarihinde 29677 sayılı Resmi Gazete’de yayınlanan 6698 sayılı Kişisel Verilerin Korunması Kanunu

Kurum: Kişisel Verileri Koruma Kurumu

Kurul: Kişisel Verileri Koruma Kurulu

Kurul Kararı: Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler ile ilgili Kişisel Verileri Koruma Kurulunun 31.01.2018 tarihli, 2018/10 sayılı kararıdır.

Politika: İşbu Paket Lojistik ve Teknoloji Anonim Şirketi Özel Nitelikli Kişisel Verilerin İşlenmesi ve Korunması Politikası

Veri Sorumlusu: Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, verilerin sistematik bir şekilde tutulduğu yeri yöneten kişidir.

5. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ

5.1 ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN GENEL İLKELER

Özel nitelikli kişisel verilerin işlenmesinde Kanun’da yer alan genel ilkelere uyulması gerekmektedir. Bu kapsamda, özel nitelikli kişisel veriler işlenirken aşağıdaki ilkelere uygun olarak hareket edilecektir:

  • Hukuka ve dürüstlük kuralına uygun olarak kişisel verileri işleme,
  • Kişisel verilerin doğru ve gerektiğinde güncel olmasını sağlama,
  • Kişisel verileri belirli, açık ve meşru amaçlarla işleme,
  • Kişisel verileri işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olarak işleme,
  • İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etme.
5.2 ÖZEL NİTELİKLİ KİŞİSEL VERİLERİ İŞLEME ŞARTLARI

Özel nitelikli kişisel veriler işlenmesinde genel ilkelerle birlikte, Kanun’un 6. Maddesinde belirtilen şartlara uygun hareket etmek gerekmektedir. Bu kapsamda, aşağıdaki şartlardan birine dayalı olarak özel nitelikli kişisel verileri işleme faaliyeti yürütülebilir:

  • Özel nitelikli kişisel verilerin işlenmesine yönelik ilgili kişinin açık rızasının alınması,
  • Özel nitelikli kişisel verilerin işlenmesinin kanunda öngörülmesi (Sağlık ve cinsel hayata ilişkin veriler hariç olmak üzere),
  • Sağlık ve cinsel hayata ilişkin kişisel verilerin açık rıza aranmaksızın, ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenebilmektedir.
5.3 ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN AKTARILMASI

Kanun uyarınca özel nitelikli kişisel veriler Kanun’un 8. Ve 9. Maddelerinde belirtilen kişisel veri işleme şartlarına uygun olarak üçüncü kişiler ile paylaşılabilecektir.

İlgili Kişinin açık rızasının bulunması durumunda Şirketimiz, Özel Nitelikli Kişisel Verileri, veri işleme amaçları doğrultusunda ve genel ilkelere uygun olarak ve Kurul tarafından öngörülen yöntemler de dahil gerekli güvenlik önlemlerini alarak aktarabilmektedir.

Aşağıda yer alan şartların varlığı halinde kişisel veriler kişisel İlgili Kişinin açık rızası aranmaksızın üçüncü kişilere aktarılabilecektir:

  1. İlgili Kişinin sağlığı ve cinsel hayatı dışındaki Özel Nitelikli Kişisel Veriler, kanunlarda öngörülen hallerde,
  2. İlgili Kişinin sağlık durumuna ve cinsel hayatına ilişkin Özel Nitelikli Kişisel Veriler, ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından aktarılabilmektedir.

6. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN ELDE EDİLMESİ ESNASINDA İLGİLİ KİŞİLERİN AYDINLATILMASI

Kanun’un 10 uncu maddesine göre; kişisel verilerin elde edilmesi sırasında veri sorumluları veya yetkilendirdiği kişilerce ilgili kişilerin bilgilendirilmesi gerekmektedir. Şirketimiz ilgili kişilere yönelik aydınlatma yükümlülüğünü yerine getirirken asgari olarak aşağıdaki konular hakkında ilgili kişileri bilgilendirmektedir:

  1. Veri sorumlusunun ve varsa temsilcisinin kimliği,
  2. Kişisel verilerin hangi amaçla işleneceği,
  3. Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
  4. Kişisel veri toplamanın yöntemi ve hukuki sebebi,
  5. Kanun’un 11 inci maddede sayılan ve ilgili kişilere tanınmış olan haklar ve bu hakların ne şekilde kullanılabileceği.

Alternatif yöntem ve metotların benimsendiği haller hariç, Şirket tarafından aydınlatma yükümlülüğünün yerine getirilmesi için ilgili kişilere fiziksel ya da elektronik ortamda, sonradan kanıtlanabilir şekilde sunulan aydınlatma metinleri kullanılmaktadır. Özel Nitelikli Kişisel Verilerin işlendiği süreçlerde görev alan Şirket çalışanları, kişisel verilerin elde edilmesi öncesinde ilgili kişilere gerekli aydınlatma metinlerinin sunulduğu ve ilgili kişilerin bilgilendirildiğinden emin olmalıdır.

7. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN SAKLANMASI VE İMHASI

Kanun’un 7’nci maddesinde düzenlenen kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi yükümlülüğü gereği, Şirketimiz tarafından Kanun ve diğer mevzuat hükümlerine uygun olarak işlenmiş olmasına rağmen işlenmesini gerektiren sebeplerin ortadan kalkması halinde Özel Nitelikli Kişisel Veriler dahil tüm kişisel veriler, Şirketimizin re’sen vermiş olduğu karara veya kişisel İlgili Kişinin talebine istinaden silinir, yok edilir veya anonim hale getirilir.

Kişisel verilerin saklanması ve imhasına ilişkin detaylı bilgilere ilişkin detaylı bilgiler Paket Lojistik ve Teknoloji Anonim Şirketi Saklama ve İmha Politikası’nda yer almaktadır.

8. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN GÜVENLİĞİNİN VE GİZLİLİĞİNİN SAĞLANMASI

Özel nitelikli kişisel verilerin muhafaza edildiği ortamlara ilişkin Kurul Kararında belirtilen önlemler alınmaktadır.

8.1 Özel Nitelikli Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak ve Özel Nitelikli Kişisel Verilere Hukuka Aykırı Erişilmesini Önlemek için Şirketimiz Tarafından Alınan İdari Tedbirler
  • Şirketimiz nezdinde Özel Nitelikli Kişisel Verilere yönelik olarak meydana gelebilecek riskler belirlenmiş ve bunlara karşı alınması gereken önlemler tespit edilmiştir,
  • Personellere kişisel verilerin güvenliğinin sağlanması, hukuka aykırı olarak açıklanmaması ve paylaşılmamasına ilişkin gerekli eğitim ve farkındalık çalışmaları yapılır,
  • Personellerle gizlilik sözleşmeleri akdedilir,
  • Personeller, çalıştığı departmana ve iş rolüne göre kişisel verilerin bulunduğu sunuculara erişim için yetkilendirilir. Bu yetkilerin kapsamı ve süreleri net olarak belirlenir,
  • Dönemsel olarak yetki kontrolleri yapılır,
  • Personellerin görev değiştirmesi veya işten ayrılması halinde verilere erişim yetkileri kaldırılır.
8.2 Özel Nitelikli Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak ve Özel Nitelikli Kişisel Verilere Hukuka Aykırı Erişilmesini Önlemek için Şirketimiz Tarafından Alınan Teknik Tedbirler

Özel Nitelikli Kişiler Verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise;

  • Özel nitelikli kişisel veriler kriptografik yöntemlerle muhafaza edilir,
  • Kriptografik anahtarlar güvenli ve farklı ortamlarda tutulmaktadır.
  • Özel nitelikli kişisel veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarının güvenli bir şekilde loglanır,
  • Özel nitelikli kişisel verilerin bulunduğu ortamlara ait güvenlik güncellemeleri takip edilerek, düzenli olarak teste tabi tutulur ve test sonuçları kayıt altına alınır,
  • Özel nitelikli kişisel verilere bir yazılım aracılığı ile ulaşılıyorsa şirketteki yetki matrisi uyarınca kullanıcı yetkilendirmesi yapılır,
  • Özel nitelikli kişisel verilere uzaktan erişim sağlanıyor ise en az iki kademeli kimlik doğrulama sistemi sağlanmaktadır.

Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise,

  • Özel Nitelikli Kişisel Verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemleri (elektrik kaçağı, yangın, su baskını, hırsızlık vs. durumlara karşı) alınmaktadır.
  • Bu ortamların fiziksel güvenliği ayrıca sağlanarak Şirketin oluşturmuş olduğu yetki matrisi uyarınca yetkisiz giriş çıkışlar engellenmektedir.
8.3 Özel Nitelikli Kişisel Verilerin Hukuka Uygun Aktarımını Sağlamak için Şirketimiz Tarafından Alınan Tedbirler
  • Özel Nitelikli Kişisel Verilerin E-posta ile aktarıldığı durumlarda şifreli olarak kurumsal e-posta adresi veya KEP hesabı kullanılarak aktarım gerçekleşmektedir,
  • Farklı fiziksel ortamlardaki sunucular arasında aktarım gerçekleşiyorsa, sunucular arasında VPN kurularak ya da sFTP yöntemi ile aktarım gerçekleşmektedir,
  • Özel Nitelikli Kişisel Verilerin kağıt üzerinden fiziki olarak aktarıldığı durumlarda belgenin çalınması, kaybolması veya yetkisiz üçüncü kişilerin erişiminin önlenmesi amacı ile gizlilik dereceli belgeler formatında gönderilmesi gerekmektedir,
  • Özel Nitelikli Kişisel Verilerin Taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmektedir ve kriptografik anahtar farklı ortamda tutulmaktadır.
8.4 Özel Nitelikli Kişisel Verilerin Kanuni Olmayan Yollarla İfşası Durumunda Alınacak Tedbirler

Şirketimiz tarafından yürütülen Özel Nitelikli Kişisel Veri işleme faaliyeti kapsamında, Özel Nitelikli Kişisel Verilerin hukuka aykırı olarak yetkisiz kimseler tarafından elde edilmesi durumunda, durum Kurul’un 24.01.2019 tarih ve 2019/10 sayılı kararına uygun biçimde Kurul’a en geç 72 (yetmiş iki) saat içerisinde bildirilecek ve ihlalden etkilenen ilgili kişilere mümkün olan en kısa süre içerisinde bilgilendirme yapılacaktır.